Introducción
En el ecosistema de WordPress, la seguridad es un aspecto fundamental que todos los administradores de sitios deben tener en cuenta. Recientemente, se han descubierto dos vulnerabilidades significativas que afectan a plugins populares, lo que subraya la importancia de mantener los sistemas actualizados y seguros.
Vulnerabilidades Detectadas
Las vulnerabilidades identificadas son las siguientes:
- CVE-2026-4880: Afecta al plugin Barcode Scanner, permitiendo la escalación de privilegios a través de una autenticación basada en tokens insegura.
- CVE-2026-4949: Afecta al plugin ProfilePress, permitiendo a los atacantes autenticados acceder a planes de membresía inactivos.
CVE-2026-4880
El plugin Barcode Scanner, utilizado para la gestión de inventarios y sistemas de punto de venta, presenta una vulnerabilidad que permite a atacantes no autenticados escalar privilegios. Esto se debe a que el plugin confía en un ID de usuario proporcionado por el usuario en un parámetro de token, lo que puede llevar a la exposición de tokens de autenticación válidos.
CVE-2026-4949
Por otro lado, el plugin ProfilePress presenta una falta de autorización en su función de procesamiento de pagos, lo que permite a los usuarios con acceso de nivel Suscriptor cambiar a planes de membresía inactivos simplemente proporcionando un ID de suscripción arbitrario.
Ficha técnica de la vulnerabilidad
- CVE-2026-4880
- CVE-2026-4949
Recomendaciones
Es crucial que los administradores de WordPress revisen sus instalaciones y actualicen los plugins afectados a las versiones más recientes, que incluyen parches de seguridad. Además, se recomienda implementar medidas de seguridad adicionales, como la autenticación de dos factores y la monitorización de actividad sospechosa en sus sitios.
Fuentes consultadas
Para más información sobre cómo proteger tu sitio WordPress, no dudes en contactarnos o solicitar un análisis web en SeguridadWP.es.
