Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Wallet for WooCommerce <= 1.6.4 - Missing Authorization to Authenticated (Subscriber+) User/Email Enumeration via terawallet_export_user_search AJAX Action en WOO Wallet - version 1.6.5

PLUGIN MEDIUM CVE-2026-12103

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Woo Wallet (versión 1.6.4) que permite la enumeración de usuarios a través de una acción AJAX. Este fallo de autorización puede comprometer la información de los usuarios autenticados, afectando la integridad y seguridad de la tienda online.

Contexto técnico

El problema radica en la falta de autorización adecuada en la acción AJAX 'terawallet_export_user_search'. Esto permite que usuarios con el rol de suscriptor o superior accedan a información sensible de otros usuarios, exponiendo así datos que deberían estar protegidos.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de direcciones de correo electrónico y otros datos de usuarios, lo que podría resultar en ataques de phishing o suplantación de identidad. Esto afecta la confianza del cliente y puede tener repercusiones económicas y legales para el negocio.

Vector de explotación

La vulnerabilidad se puede explotar enviando solicitudes maliciosas a la acción AJAX mencionada, permitiendo la obtención de información de usuarios sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Woo Wallet a la versión 1.6.5 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que las configuraciones de acceso estén correctamente configuradas. Implementar medidas de monitoreo para detectar accesos no autorizados a información de usuarios.

Señales de detección

Revisar los logs de acceso para identificar solicitudes inusuales a la acción 'terawallet_export_user_search' que provengan de usuarios no autorizados.

Alcance afectado

La vulnerabilidad afecta a la versión 1.6.4 del plugin Woo Wallet. Se recomienda a los usuarios de versiones anteriores que actualicen sin demora. No se han confirmado otros escenarios de afectación.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woo-wallet

TeraWallet – For WooCommerce <= 1.5.15 - Authenticated (Customer+) Race Condition

MEDIUM PLUGIN

woo-wallet

Wallet for WooCommerce <= 1.5.6 - Authenticated (Subscriber+) Incorrect Conversion between Numeric Types

MEDIUM PLUGIN

woo-wallet

TeraWallet – Best WooCommerce Wallet System With Cashback Rewards, Partial Payment, Wallet Refunds <= 1.4.10 - Missing Authorization to Authenticated (Subscriber+) User Email Export

MEDIUM PLUGIN

woo-wallet

TeraWallet – For WooCommerce <= 1.3.24 - Cross-Site Request Forgery via admin_options

MEDIUM PLUGIN

woo-wallet

TeraWallet – For WooCommerce <= 1.4.3 - Insecure Direct Object Reference

HIGH PLUGIN

woo-wallet

TeraWallet – For WooCommerce <= 1.3.24 - Cross-Site Request Forgery via lock_unlock_terawallet

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad