Descripción de la Vulnerabilidad
Recientemente se ha identificado una vulnerabilidad en el plugin AstrBot, específicamente en la versión hasta la 4.22.1. Esta vulnerabilidad se relaciona con la función install_plugin_upload ubicada en el archivo astrbot/dashboard/routes/plugin.py. El problema radica en la manipulación del argumento File, lo que puede resultar en un problema de sandboxing. Este fallo permite que un atacante ejecute un exploit de forma remota.
El proyecto fue informado sobre esta vulnerabilidad a través de un informe, pero hasta la fecha no ha respondido adecuadamente, lo que deja a muchos sitios WordPress potencialmente expuestos.
Ficha técnica de la vulnerabilidad
- ID de la vulnerabilidad: CVE-2026-6117
- Tipo: CWE-264
- Gravedad: 6.50 (MEDIUM)
- Fecha de publicación: 12 de abril de 2026
- Vector CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:
Recomendaciones de Seguridad
Para proteger tu sitio WordPress, se recomienda:
- Actualizar el plugin AstrBot a la versión más reciente que solucione esta vulnerabilidad.
- Monitorear los registros de actividad del sitio para detectar accesos no autorizados.
- Implementar medidas de seguridad adicionales, como firewalls y plugins de seguridad.
Conclusión
La seguridad de los plugins en WordPress es crucial para mantener la integridad de los sitios web. Es fundamental estar al tanto de las actualizaciones y vulnerabilidades para protegerse contra posibles ataques.
