Descripción de la Vulnerabilidad
Recientemente, se ha identificado una vulnerabilidad crítica en el plugin Learn Manager (versiones hasta 1.1.8) que permite a atacantes no autenticados realizar la instalación y activación arbitraria de plugins a través de la acción AJAX jslearnmanager_ajax. Esta vulnerabilidad ha sido catalogada como CRITICAL y posee un puntaje CVSS de 9.8, lo que indica un alto nivel de riesgo para los sitios que utilizan este plugin.
Impacto
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante tomar el control del sitio web, instalar plugins maliciosos y comprometer la seguridad del mismo. Esto representa una amenaza significativa, especialmente para aquellos sitios que no mantienen actualizados sus plugins o que no aplican buenas prácticas de seguridad.
Ficha técnica de la vulnerabilidad
- Componente: Learn Manager (plugin)
- Tipo: Bypass de autorización
- Severidad: Crítica
- CVSS: 9.8
- CVE: CVE-2026-12153
Recomendaciones
Se recomienda a todos los administradores de sitios WordPress que utilicen el plugin Learn Manager que actualicen a la última versión disponible lo antes posible. Además, es crucial implementar medidas de seguridad adicionales, como:
- Revisar y limitar los permisos de usuario en el panel de administración.
- Desactivar la instalación de plugins desde el panel de administración si no es necesario.
- Monitorizar el sitio para detectar actividades sospechosas.
Conclusión
La seguridad de los sitios WordPress es una responsabilidad compartida entre los desarrolladores de plugins y los administradores de sitios. Mantenerse informado sobre vulnerabilidades y aplicar actualizaciones de seguridad es esencial para proteger su sitio contra posibles ataques.