Vulnerabilidades WordPress en Tiempo Real

• Publicado: 15 Jun 2026
• CVE-2026-10780
• CVSS Score: 4.3

El complemento Static Block para WordPress es vulnerable a Insecure Direct Object Reference en todas las versiones hasta la 2.2 inclusive. Esto se debe a que el controlador de código corto static_block_content() recupera una publicación a través de get_post() usando un atributo 'id' proporcionado por el atacante y genera su post_content sin verificar el estado de la publicación (privada, borrador, pendiente) o la capacidad del usuario solicitante para verla. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, lean el contenido de publicaciones arbitrarias, incluidos bloques estáticos privados y borradores (y cualquier otro tipo de publicación) creados por administradores, al incorporar el shortcode [static_block_content id="X"] en su propio contenido y obtener una vista previa del mismo.

• Publicado: 15 Jun 2026
• CVE-2026-9187
• CVSS Score: 5.3

El complemento Abandoned Contact Form 7 para WordPress es vulnerable a la eliminación arbitraria y no autorizada de publicaciones en versiones hasta la 2.2 inclusive. Esto se debe a una verificación de capacidad faltante y a una validación nonce faltante en la función action__remove_abandoned(), que está registrada en los ganchos wp_ajax_remove_abandoned y wp_ajax_nopriv_remove_abandoned. El controlador toma un parámetro recovery_id proporcionado por el usuario de $_POST y lo pasa directamente a wp_delete_post() con el indicador de eliminación forzada establecido en verdadero, sin verificar que la ID pertenece al tipo de publicación cf7af_data del complemento. Esto hace posible que atacantes no autenticados eliminen permanentemente publicaciones, páginas u otro contenido arbitrario en el sitio afectado enviando un único admin-ajax.

• Publicado: 15 Jun 2026
• CVE-2026-6933
• CVSS Score: 8.8

El complemento Premmerce Dev Tools para WordPress es vulnerable a la ejecución remota de código debido a la falta de autorización en versiones hasta la 2.0 inclusive. Esto se debe a que la función 'generatePluginHandler' carece de verificación de autorización antes de procesar los datos POST proporcionados por el usuario, combinada con la función 'createFromStub' que realiza la sustitución de cadenas no saneadas del parámetro 'premmerce_plugin_namespace' directamente en archivos auxiliares de PHP escritos en el directorio wp-content/plugins/. Un atacante puede inyectar un punto y coma seguido de código PHP arbitrario en el parámetro del espacio de nombres, lo que hace que el archivo de complemento generado contenga y ejecute ese código cuando se accede a través de HTTP. Esto hace posible que atacantes autenticados con acceso de nivel de suscriptor y superior creen archivos PHP arbitrarios en el servidor y logren la ejecución remota de código.

• Publicado: 15 Jun 2026
• CVE-2026-6964
• CVSS Score: 5.3

El complemento Videoconferencia con Zoom para WordPress es vulnerable a la omisión de autorización en todas las versiones hasta la 4.6.7 inclusive. Esto se debe a que el complemento no verifica adecuadamente que un usuario esté autorizado para realizar una acción. Esto hace posible que atacantes no autenticados obtengan la clave API del SDK de Zoom del sitio y un JWT recién firmado que se puede usar con el SDK web de Zoom para unirse a cualquier reunión de Zoom asociada con esas credenciales sin una invitación legítima.

• Publicado: 12 Jun 2026
• CVE-2026-5513
• CVSS Score: 7.2

El sistema de programación y reserva de citas en línea: el complemento Bookly para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de la cookie 'bookly-customer-ful-name' en versiones hasta la 27.2 inclusive debido a una desinfección insuficiente de la entrada y al escape de la salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. La explotación requiere que la configuración 'Recordar información personal en las cookies' esté habilitada (deshabilitada de forma predeterminada).

• Publicado: 12 Jun 2026
• CVE-2026-1291
• CVSS Score: 4.3

El complemento Meow Gallery para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en el punto final de la API REST /wp-json/meow-gallery/v1/save_shortcode en todas las versiones hasta la 5.4.4 inclusive. Esto hace posible que atacantes autenticados, con acceso a nivel de autor y superior, creen o sobrescriban arbitrariamente registros de shortcode de galería existentes proporcionando un valor de identificación controlado por el usuario. El punto final realiza operaciones de actualización de la base de datos sin verificar que el usuario solicitante esté autorizado a modificar el registro de la galería al que se hace referencia o crear el suyo propio.

• Publicado: 12 Jun 2026
• CVE-2026-2470
• CVSS Score: 4.3

El complemento de creación de sitios web Page Builder: Pagelayer – Arrastrar y soltar para WordPress es vulnerable a una autorización incorrecta en todas las versiones hasta la 2.0.9 inclusive. Esto se debe a que el controlador AJAX pagelayer_save_content permite a los usuarios con capacidad básica de posedición conservar los metadatos de pagelayer_contact_templates en las publicaciones que pueden editar (incluidas las publicaciones pendientes), mientras que el punto final no autenticado pagelayer_contact_submit consume posteriormente esos metadatos mediante identificadores de formulario/publicación controlados por el usuario sin imponer un límite de contexto privilegiado o de publicación. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, configuren plantillas de correo de formulario de contacto arbitrarias que se pueden utilizar mediante el envío de formularios no autenticados a través del parámetro de contactos. En implementaciones típicas, esta función de plantilla se configura a través de la interfaz de usuario de Pagelayer Pro; sin embargo, la ruta de confianza de backend vulnerable todavía está presente. Este problema puede estar encadenado con CVE-2026-2442 para aumentar la explotabilidad y el control del atacante sobre el comportamiento del correo electrónico saliente.

• Publicado: 12 Jun 2026
• CVE-2026-3297
• CVSS Score: 6.4

El complemento de creación de sitios web Page Builder: Pagelayer – Arrastrar y soltar para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del bloque Anchor en versiones hasta la 2.0.9 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Publicado: 12 Jun 2026
• CVE-2026-9629
• CVSS Score: 6.4

El complemento Canvas para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro 'etiqueta' en todas las versiones hasta la 2.5.2 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Publicado: 12 Jun 2026
• CVE-2026-9134
• CVSS Score: 6.4

El complemento FooGallery para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro de código corto 'custom_attribute_key' en versiones hasta la 3.1.31 inclusive. Esto se debe a una lista negra incompleta del controlador de eventos de JavaScript en la función foogallery_sanitize_javascript(), que bloquea solo un subconjunto de atributos de eventos HTML (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) al tiempo que permite otros como 'onmouseenter', combinado con la falla al escapar de la clave de atributo al crear el HTML del contenedor de la galería en foogallery_build_container_attributes_safe(). Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Publicado: 12 Jun 2026
• CVE-2026-9109
• CVSS Score: 7.2

GPTranslate – Traducción multilingüe de IA para WordPress: complemento de traducción automática de sitios web para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del almacenamiento de traducción API REST en todas las versiones hasta la 2.31 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. La clave API derivada determinista (sha256 de la URL del sitio) se imprime en la fuente HTML de cada página a través de la variable JavaScript gptApiKey, lo que significa que cualquier visitante no autenticado puede recuperar la clave y enviar cargas útiles de traducción maliciosas al punto final /wp-json/gptranslate/v1/request sin ninguna condición previa adicional.

• Publicado: 12 Jun 2026
• CVE-2026-9848
• CVSS Score: 7.5

El complemento WP Ticket para WordPress es vulnerable a la inyección SQL a través del parámetro de consulta de búsqueda de WordPress (`s`) en versiones hasta 6.0.4 inclusive. El complemento conecta el filtro `posts_request` de WordPress con `wp_ticket_com_posts_request()`, que llama a `emd_author_search_results()` cuando la solicitud actual es una búsqueda de front-end no autenticada. Esa función dice `$query->query_vars['s']`, ya wp_unslash()''d por `WP_Query::parse_query()`, por lo que se ha eliminado la protección de wp_magic_quotes, y concatena el valor sin procesar en una cláusula SQL `LIKE` dentro de un UNION sub-SELECT agregado a la consulta principal, sin `$wpdb->prepare()` ni escape. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.

• Publicado: 12 Jun 2026
• CVE-2026-12089
• CVSS Score: 4.9

El complemento LWS Optimize – All-in-One Speed ​​Booster & Cache Tools para WordPress es vulnerable a la lectura arbitraria de archivos en versiones hasta la 3.3.19 inclusive. Esto se debe a que la función combine_current_css() confía en los valores <link rel="stylesheet" href="..."> recopilados de la página HTML y convierte las URL del mismo sitio en rutas absolutas del sistema de archivos antes de leerlas con file_get_contents()/Minify\CSS::add(), sin exigir que la ruta resuelta permanezca dentro de ABSPATH o tenga una extensión .css. Esto hace posible que atacantes autenticados, con acceso a nivel de editor y superior, lean archivos arbitrarios.

• Publicado: 11 Jun 2026
• CVE-2026-9125
• CVSS Score: 6.4

El complemento Presto Player para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro 'link_url' del código corto [presto_player_overlay] en versiones hasta la 4.2.0 inclusive. Esto se debe a una limpieza de entrada insuficiente y un escape de salida en la función getOverlays(), que copia el atributo del código corto link_url directamente en la configuración de superposición sin validación del esquema, lo que permite que javascript: URI sobreviva y se represente como el href de un elemento de anclaje en el que se puede hacer clic mediante el componente web presto-dynamic-overlay-ui. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Publicado: 10 Jun 2026
• CVE-2026-10795
• CVSS Score: 8.1

El complemento UpdraftPlus: WP Backup & Migration Plugin para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 1.26.4 (gratuita) incluida y las versiones hasta la 2.26.5 (premium) a través de la función UpdraftPlus_Remote_Communications_V2::wp_loaded. Esto se debe a una validación insuficiente del formato del mensaje de comunicaciones remotas, donde la verificación de la firma se puede omitir y los valores de retorno de descifrado no verificados colapsan a una clave de cifrado predecible de todos ceros. Esto hace posible que atacantes no autenticados falsifiquen comandos RPC arbitrarios y los ejecuten como administrador conectado, como cargar y activar un complemento malicioso, lo que en última instancia conduce a la ejecución remota de código.