Introducción
Recientemente, se ha descubierto una vulnerabilidad crítica en el plugin Vertex Addons para Elementor, que afecta a todas las versiones hasta la 1.6.4. Esta falla de seguridad podría permitir a atacantes autenticados realizar acciones no autorizadas, lo que pone en riesgo la integridad de los sitios web afectados.
Descripción de la Vulnerabilidad
La vulnerabilidad, identificada como CVE-2026-4326, se debe a una falta de autorización adecuada en la función activate_required_plugins(). Este fallo permite que los atacantes, incluso aquellos con privilegios de nivel Suscriptor, puedan activar plugins sin la autorización necesaria.
El problema radica en que la verificación de la capacidad current_user_can('install_plugins') no detiene la ejecución cuando falla. En lugar de ello, solo establece una variable de mensaje de error, permitiendo que el código de instalación y activación del plugin se ejecute. La respuesta de error se envía solo después de que la instalación y activación ya se han completado, lo que facilita que un atacante aproveche esta vulnerabilidad.
Ficha técnica de la vulnerabilidad
- ID de vulnerabilidad: CVE-2026-4326
- Plugin afectado: Vertex Addons para Elementor
- Versiones afectadas: Hasta la 1.6.4
- Tipo de vulnerabilidad: Falta de autorización (CWE-862)
- Gravedad: Pendiente de análisis
Recomendaciones
Se recomienda a todos los usuarios de Vertex Addons para Elementor que actualicen a la última versión del plugin para mitigar esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de seguridad adicionales, como limitar el acceso a funciones críticas de administración.
Conclusión
La seguridad en WordPress es un aspecto crucial para mantener la integridad de los sitios web. Estar al tanto de las vulnerabilidades y aplicar las actualizaciones necesarias es fundamental para protegerse contra posibles ataques.
