Vulnerabilidad en New User Approve (CVE-2026-0832)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2026
Última modificación:
29/01/2026
Descripción
El plugin New User Approve para WordPress es vulnerable a acceso no autorizado a datos y modificación de datos debido a una comprobación de capacidad faltante en múltiples endpoints de la API REST en todas las versiones hasta la 3.2.2, inclusive. Esto hace posible que atacantes no autenticados aprueben o denieguen cuentas de usuario, recuperen información sensible del usuario, incluyendo correos electrónicos y roles, y fuercen el cierre de sesión de usuarios privilegiados.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/new-user-approve/tags/3.2.1/includes/end-points/mobile-api.php#L24
- https://plugins.trac.wordpress.org/browser/new-user-approve/tags/3.2.1/includes/end-points/mobile-api.php#L60
- https://plugins.trac.wordpress.org/browser/new-user-approve/trunk/includes/end-points/mobile-api.php#L24
- https://plugins.trac.wordpress.org/browser/new-user-approve/trunk/includes/end-points/mobile-api.php#L60
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3425140%40new-user-approve&new=3425140%40new-user-approve
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3442291%40new-user-approve&new=3442291%40new-user-approve
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f86a69ab-2fc5-4c84-872b-929dbec429cd?source=cve