Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Textmetrics <= 3.6.3 - Authenticated (Subscriber+) Arbitrary Shortcode Execution

PLUGIN MEDIUM CVE-2026-24564

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Textmetrics hasta la versión 3.6.3, que permite la ejecución arbitraria de shortcodes para usuarios autenticados con rol de suscriptor o superior. Esta falla tiene una severidad media, con un CVSS de 5.4.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los shortcodes, permitiendo a los usuarios autenticados ejecutar código no autorizado. Esto expone la superficie de ataque a cualquier usuario con privilegios suficientes, que podría inyectar y ejecutar shortcodes maliciosos.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el sitio, lo que podría comprometer la integridad de los datos y la seguridad del sistema, además de afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la manipulación de shortcodes a través de una interfaz de usuario del plugin, donde un atacante autenticado podría insertar código malicioso.

Mitigación recomendada

Se recomienda actualizar el plugin Textmetrics a la versión 3.6.3 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de los usuarios y aplicar prácticas de hardening en la gestión de shortcodes.

Señales de detección

Señales de explotación pueden incluir registros de actividad inusuales que muestren la ejecución de shortcodes no autorizados o cambios inesperados en el contenido del sitio.

Alcance afectado

Las versiones del plugin Textmetrics hasta la 3.6.3 están afectadas, lo que incluye todas las instalaciones que no han actualizado a la versión corregida.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

webtexttool

Textmetrics <= 3.6.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

webtexttool

Textmetrics <= 3.6.1 - Missing Authorization

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad