Fuente base de datos: Wordfence Intelligence

WCFM - WooCommerce Frontend Manager <= 6.7.25 - Insecure Direct Object References to Autenticated (Vendor+) Arbitrary Post/Product Manipulation

PLUGIN HIGH CVE-2026-4896

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WCFM - WooCommerce Frontend Manager, que permite referencias directas inseguras a objetos, lo que puede resultar en la manipulación arbitraria de publicaciones y productos. Esta vulnerabilidad afecta a las versiones hasta la 6.7.25 y fue publicada el 3 de abril de 2026.

Contexto técnico

La vulnerabilidad se basa en referencias directas inseguras a objetos (IDOR), lo que permite a usuarios autenticados manipular publicaciones y productos sin la debida autorización. Esto ocurre en el contexto de un plugin utilizado en tiendas WooCommerce, lo que amplía la superficie de ataque a cualquier usuario con acceso al panel de administración.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante manipule contenido crítico de la tienda, lo que podría comprometer la integridad de los productos y afectar la confianza del cliente. Esto puede resultar en pérdidas financieras y daños a la reputación de la marca.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo a URLs específicas que permiten la manipulación de productos o publicaciones, utilizando credenciales de usuario válidas para eludir controles de acceso.

Mitigación recomendada

Actualizar el plugin WCFM - WooCommerce Frontend Manager a la versión 6.7.26 o superior. Además, se recomienda revisar los permisos de usuario y aplicar controles de acceso más estrictos para evitar manipulaciones no autorizadas.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en productos o publicaciones, intentos de acceso a recursos restringidos por parte de usuarios autenticados y registros de actividad inusual en el panel de administración.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WCFM - WooCommerce Frontend Manager hasta la 6.7.25. Se recomienda a los usuarios de estas versiones que tomen medidas inmediatas.

Vulnerabilidades relacionadas

HIGH PLUGIN

wc-frontend-manager

WCFM - WooCommerce Frontend Manager <= 6.7.24 - Authenticated (Shop Manager+) Arbitrary Options Update

MEDIUM PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce <= 6.7.24 - Missing Authorization

MEDIUM PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification

HIGH PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.12 - Insecure Direct Object Reference to Account Takeover/Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto