Escanear gratis
HIGHCVE-2026-4031CVSS 7.5

Vulnerabilidad GHSA-9gjv-jvm7-vv2v: Gramps WebAPI ≤3.9.1

Plataforma

wordpress

Componente

wp-db-backup

Corregido en

2.5.3

Ver en NVD
Guardar

Esta vulnerabilidad en Gramps WebAPI permite a usuarios con el rol 'Guest' acceder a datos privados de sub-objetos, como nombres alternativos, direcciones y notas, a través de las API de listado. Esto no afecta a objetos privados en sí, sino a la información adjunta a objetos públicos. La vulnerabilidad afecta a versiones de Gramps WebAPI anteriores a la 3.9.1, y se ha solucionado en la versión 3.11.0.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Ninguno — sin impacto en integridad.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentewp-db-backup
Proveedorwordfence
Versión máxima2.5.2
Corregido en2.5.3

Clasificación de Debilidad (CWE)

CWE-862

Cronología

  1. Publicada
  2. Modificada

Cómo corregirlotraduciendo…

Update to version 2.5.3, or a newer patched version

Preguntas frecuentes

¿Qué es exactamente esta vulnerabilidad?

Permite a usuarios con el rol 'Guest' en Gramps WebAPI acceder a información privada de sub-objetos (como nombres alternativos o direcciones) que están asociados a objetos públicos, a través de las API de listado.

¿Estoy en riesgo de ser afectado?

Si está utilizando una versión de Gramps WebAPI anterior a la 3.9.1, es posible que esté afectado por esta vulnerabilidad. Revise su versión actual y considere actualizar.

¿Cómo puedo solucionar o mitigar esta vulnerabilidad?

La solución es actualizar Gramps WebAPI a la versión 3.11.0 o superior, que incluye la corrección para esta vulnerabilidad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis
liveescaneo gratuito

Escanea tu proyecto WordPress ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...