Saltar al contenido

Fuente base de datos: Wordfence Intelligence

WPCafe <= 3.0.14 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Modification via REST API en WP Cafe (falta de autorizacion) - version 3.0.15

PLUGIN MEDIUM CVE-2026-11818

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin WPCafe (versiones hasta 3.0.14) que permite modificaciones arbitrarias sin la debida autorización a usuarios autenticados con rol de suscriptor o superior. Esto puede comprometer la integridad de la información y la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de verificación de autorización en la REST API del plugin WPCafe. Esto permite a usuarios autenticados, como suscriptores, realizar cambios no autorizados en la configuración del plugin y en los datos asociados.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados modificar configuraciones y datos, lo que podría llevar a la manipulación de contenido y a la pérdida de confianza por parte de los usuarios. La severidad se clasifica como media, con un puntaje CVSS de 5.4.

Vector de explotación

La explotación se realiza a través de llamadas a la REST API del plugin, donde un atacante autenticado puede enviar solicitudes maliciosas para alterar datos sin la autorización adecuada.

Mitigación recomendada

Actualizar el plugin WPCafe a la versión 3.0.15 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los roles apropiados tengan acceso a funciones críticas. Implementar un monitoreo continuo de las actividades en la REST API para detectar accesos no autorizados.

Señales de detección

Señales de alerta incluyen registros de cambios en la configuración del plugin por parte de usuarios que no deberían tener acceso a esas funciones, así como solicitudes inusuales a la REST API.

Alcance afectado

Las versiones afectadas son WPCafe hasta la 3.0.14. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión y apliquen la actualización correspondiente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-cafe

WPCafe – Restaurant Menu, Online Food Ordering & Table Booking System <= 3.0.14 - Missing Authorization

MEDIUM PLUGIN

wp-cafe

WPCafe – Restaurant Menu, Online Food Ordering and Reservation Booking Solution <= 3.0.7 - Missing Authorization

HIGH PLUGIN

wp-cafe

WPCafe <= 2.2.32 - Authenticated (Contributor+) Local File Inclusion

HIGH PLUGIN

wp-cafe

WPCafe <= 2.2.31 - Authenticated (Contributor+) Local File Inclusion

HIGH PLUGIN

wp-cafe

WPCafe <= 2.2.28 - Authenticated (Contributor+) Local File Inclusion

HIGH PLUGIN

wp-cafe

WPCafe <= 2.2.27 - Authenticated (Contributor+) Local File Inclusion

HIGH PLUGIN

wp-cafe

WPCafe – Online Food Ordering, Restaurant Menu, Delivery, and Reservations for WooCommerce <= 2.2.25 - Authenticated (Contributor+) File inclusion via Shortcode

MEDIUM PLUGIN

wp-cafe

WPCafe – Online Food Ordering, Restaurant Menu, Delivery, and Reservations for WooCommerce <= 2.2.24 - Authenticated (Contributor+) Stored Cross-Site Scripting via Reservation Form Shortcode

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad