Introducción
Recientemente, se ha identificado una vulnerabilidad crítica en el plugin Hippoo para WooCommerce, que podría permitir a atacantes no autenticados tomar el control de cuentas de administrador. Este problema, catalogado como CVE-2026-10580, tiene un CVSS de 9.8, lo que indica su alta severidad y el riesgo que representa para los sitios afectados.
Detalles de la Vulnerabilidad
El plugin Hippoo, utilizado para integrar aplicaciones móviles con WooCommerce, presenta un fallo en su autenticación a través de la API REST. Esto permite a los atacantes eludir los mecanismos de seguridad y acceder a funciones críticas del plugin, incluyendo la gestión de cuentas de administrador.
Ficha técnica de la vulnerabilidad
- Componente: Hippoo (plugin)
- Tipo: Ejecución Remota de Código (RCE)
- Severidad: Crítica
- CVSS: 9.8
- CVE: CVE-2026-10580
Impacto y Recomendaciones
La explotación de esta vulnerabilidad podría resultar en la toma de control total del sitio, permitiendo a los atacantes realizar acciones maliciosas como la modificación de contenido, la instalación de malware o el robo de datos sensibles. Se recomienda a todos los administradores de sitios que utilicen el plugin Hippoo que actualicen a la última versión inmediatamente para mitigar este riesgo.
Conclusión
La seguridad de los sitios WordPress es fundamental, y la identificación y corrección de vulnerabilidades críticas como la de Hippoo son esenciales para proteger tanto a los administradores como a los usuarios finales. Mantener todos los plugins actualizados y realizar auditorías de seguridad periódicas son prácticas recomendadas para minimizar los riesgos.
