Resumen de la Vulnerabilidad
Recientemente se ha descubierto una vulnerabilidad crítica en el plugin Barcode Scanner para WordPress, que afecta a todas las versiones hasta la 1.11.0. Esta vulnerabilidad permite a atacantes no autenticados escalar privilegios a través de una autenticación de token insegura.
Detalles Técnicos
La vulnerabilidad se origina en la forma en que el plugin gestiona los tokens de usuario. El plugin confía en un ID de usuario codificado en Base64 proporcionado por el usuario en el parámetro del token, lo que permite a los atacantes obtener tokens de autenticación válidos a través de la acción barcodeScannerConfigs. Además, el plugin carece de restricciones de clave meta en la acción setUserMeta, facilitando aún más la escalación de privilegios.
Ficha técnica de la vulnerabilidad
- Componente: Barcode Scanner (+Mobile App)
- Tipo: Escalación de privilegios (privesc)
- Severidad: Crítica
- CVSS: 9.8
- CVE: CVE-2026-4880
Recomendaciones
Se recomienda a todos los administradores de sitios que utilicen el plugin Barcode Scanner que actualicen a la última versión disponible inmediatamente. Además, es aconsejable revisar los registros de actividad para detectar cualquier acceso no autorizado y reforzar las medidas de seguridad en sus instalaciones de WordPress.
Fuentes consultadas
Para más información sobre cómo proteger tu sitio WordPress o realizar un análisis de seguridad, no dudes en contactarnos.
