Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Notification for Telegram <= 3.5.1 - Missing Authorization to Authenticated (Subscriber+) Cron Modification via nftb_cron_action_set AJAX Action (falta de autorizacion) - version 3.5.2

PLUGIN MEDIUM CVE-2026-7620

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Notification for Telegram hasta la versión 3.5.1, que permite la modificación de cron jobs sin la autorización adecuada. Esto podría comprometer la integridad del sitio y permitir acciones no autorizadas por usuarios suscriptores.

Contexto técnico

El fallo se encuentra en la función nftb_cron_action_set, accesible a través de una acción AJAX. La falta de autorización permite que usuarios con rol de suscriptor o superior modifiquen tareas programadas, exponiendo el sistema a posibles abusos.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante no autorizado ejecutar código malicioso o modificar configuraciones críticas, afectando la disponibilidad y seguridad del sitio web. Esto puede llevar a la pérdida de datos o a la interrupción del servicio.

Vector de explotación

La vulnerabilidad se explota enviando solicitudes AJAX maliciosas a la función nftb_cron_action_set, lo que permite la modificación de cron jobs sin la validación adecuada.

Mitigación recomendada

Actualizar el plugin Notification for Telegram a la versión 3.5.2 o superior. Revisar y restringir los permisos de los usuarios que tienen acceso a la modificación de cron jobs. Implementar medidas de seguridad adicionales, como la validación de nonce en las solicitudes AJAX.

Señales de detección

Monitorizar los logs para detectar solicitudes AJAX inusuales dirigidas a nftb_cron_action_set, así como cambios inesperados en las tareas programadas del cron.

Alcance afectado

Las versiones afectadas son Notification for Telegram hasta la 3.5.1. Se recomienda verificar si se están utilizando versiones anteriores en instalaciones activas.

Vulnerabilidades relacionadas

HIGH PLUGIN

notification-for-telegram

Notification for Telegram <= 3.5 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

notification-for-telegram

Notification for Telegram <= 3.5.1 - Missing Authorization

MEDIUM PLUGIN

notification-for-telegram

Notification for Telegram <= 3.5.1 - Cross-Site Request Forgery

MEDIUM PLUGIN

notification-for-telegram

Notification for Telegram <= 3.3.1 - Missing Authorization to Authenticated (Subscriber+) Send Telegram Test Message

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad