Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Simple Coherent Form <= 2.4.13 - Unauthenticated Arbitrary File Deletion via 'id' Parameter (vulnerabilidad)

PLUGIN CRITICAL CVE-2026-14487

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Simple Coherent Form, que permite la eliminación arbitraria de archivos a través del parámetro 'id'. Esta falla de seguridad puede comprometer gravemente la integridad del sistema, exponiendo datos sensibles y afectando la operativa del negocio.

Contexto técnico

La vulnerabilidad se presenta en versiones del plugin Simple Coherent Form hasta la 2.4.13, permitiendo a atacantes no autenticados ejecutar comandos que resulten en la eliminación de archivos del servidor. El vector de ataque se centra en el manejo inadecuado del parámetro 'id', que no valida correctamente las solicitudes.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante eliminar archivos críticos del sistema, lo que podría resultar en la pérdida de datos y la interrupción de servicios. Esto afecta no solo la seguridad del sitio, sino también la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que manipulan el parámetro 'id', lo que les permite eliminar archivos sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin Simple Coherent Form a la versión 2.4.13 o superior para cerrar la vulnerabilidad. Revisar y restaurar cualquier archivo que haya sido eliminado de manera no autorizada. Implementar medidas de seguridad adicionales, como firewalls de aplicación web, para mitigar futuros ataques.

Señales de detección

Monitorear los logs del servidor en busca de solicitudes inusuales que incluyan el parámetro 'id' y que resulten en errores de eliminación de archivos. También se deben revisar los registros de acceso para identificar patrones de acceso no autorizados.

Alcance afectado

Las versiones del plugin Simple Coherent Form hasta la 2.4.13 están afectadas. No se han confirmado casos en versiones posteriores o en otros plugins relacionados.

Vulnerabilidades relacionadas

HIGH PLUGIN

jssor-slider

Jssor Slider by jssor.com <= 3.1.24 - Unauthenticated Arbitrary File Read via 'url' Parameter

MEDIUM PLUGIN

user-management

User Management <= 1.2 - Missing Authorization to Unauthenticated Plugin Settings Modification

CRITICAL PLUGIN

learn-manager

WP Learn Manager <= 1.1.8 - Missing Authorization to Unauthenticated Arbitrary Plugin Installation and Activation via jslearnmanager_ajax AJAX Action

HIGH PLUGIN

whmcs-bridge

WHMCS Bridge <= 6.9 - Unauthenticated Arbitrary File Upload via 'ccce' Parameter

HIGH PLUGIN

dologin

DoLogin Security <= 4.3 - Unauthenticated Authentication Bypass via Insufficient Randomness via 'dologin' Parameter Weak PRNG Token

HIGH PLUGIN

latepoint

LatePoint - Calendar Booking Plugin for Appointments and Events <= 5.4.0 - Unauthenticated Stripe PaymentIntent Amount-Binding Bypass

MEDIUM PLUGIN

wp-user-frontend

User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration <= 4.3.1 - Unauthenticated Insecure Direct Object Reference to Arbitrary User Subscription Overwrite

HIGH PLUGIN

ar-for-wordpress

AR for WordPress <= 8.40 - Unauthenticated Arbitrary File Read via 'file' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad