Vulnerabilidad en tareq1988 (CVE-2025-14047)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/01/2026
Última modificación:
15/04/2026
Descripción
El plugin de Registro, Perfil de Usuario, Membresía, Restricción de Contenido, Directorio de Usuarios y Envío de Publicaciones desde el Frontend – WP User Frontend para WordPress es vulnerable a la pérdida no autorizada de datos debido a una comprobación de capacidad faltante en la función 'Frontend_Form_Ajax::submit_post' en todas las versiones hasta la 4.2.4, inclusive. Esto hace posible que atacantes no autenticados eliminen archivos adjuntos.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-user-frontend/tags/4.2.2/includes/Ajax.php#L25
- https://plugins.trac.wordpress.org/browser/wp-user-frontend/tags/4.2.2/includes/Ajax.php#L69
- https://plugins.trac.wordpress.org/browser/wp-user-frontend/tags/4.2.2/includes/Ajax/Frontend_Form_Ajax.php#L133
- https://plugins.trac.wordpress.org/browser/wp-user-frontend/tags/4.2.2/includes/Ajax/Frontend_Form_Ajax.php#L35
- https://plugins.trac.wordpress.org/browser/wp-user-frontend/tags/4.2.2/includes/Ajax/Frontend_Form_Ajax.php#L55
- https://plugins.trac.wordpress.org/changeset/3430352/wp-user-frontend/trunk/includes/Ajax/Frontend_Form_Ajax.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/6e95b16f-a25a-45c7-a875-2d34a1e127ce?source=cve