Resumen ejecutivo
Se ha detectado una vulnerabilidad de inclusión de archivos locales (LFI) en el tema Boldman, que afecta a versiones hasta la 7.7. Este fallo, clasificado con una severidad alta, puede comprometer la seguridad operativa del sitio.
Fuente base de datos: Wordfence Intelligence
Boldman <= 7.7 - Authenticated (Contributor+) Local File Inclusion (inclusion local de archivos (LFI)) - version 7.8
THEME
HIGH
CVE-2026-32400
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se presenta en el componente del tema Boldman, permitiendo a usuarios autenticados con rol de 'Contributor' o superior acceder a archivos del servidor. Esto ocurre debido a una validación insuficiente de las entradas del usuario, exponiendo el sistema a ataques de inclusión de archivos locales.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, permitiendo a atacantes acceder a información sensible del servidor y potencialmente ejecutar código malicioso. Esto puede resultar en la pérdida de datos, interrupciones del servicio y daños a la reputación del negocio.
Vector de explotación
La explotación se realiza a través de solicitudes manipuladas que buscan incluir archivos locales, lo que podría permitir a un atacante obtener acceso no autorizado a datos críticos.
Mitigación recomendada
Actualizar el tema Boldman a la versión 7.8 o superior para cerrar la vulnerabilidad. Revisar y reforzar las configuraciones de permisos de usuario para limitar el acceso a funciones críticas. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para filtrar solicitudes maliciosas.
Señales de detección
Monitorear los registros de acceso en busca de patrones inusuales de solicitudes que intenten acceder a archivos sensibles del sistema.
Alcance afectado
Las versiones del tema Boldman hasta la 7.7 son vulnerables. La versión 7.8 corrige este fallo. No se han confirmado escenarios adicionales de afectación.
Vulnerabilidades relacionadas
CRITICAL
PLUGIN
betterdocs-pro
BetterDocs Pro <= 3.8.0 - Unauthenticated Local File Inclusion via doc_style
HIGH
THEME
kastell
Kastell <= 2.0 - Unauthenticated Local File Inclusion
MEDIUM
PLUGIN
fastdup
FastDup – Fastest WordPress Migration & Duplicator <= 2.7.2 - Unauthenticated Path Traversal
HIGH
PLUGIN
wp-google-map-plugin
WP Maps – Google Maps,OpenStreetMap,Mapbox,Store Locator,Listing,Directory & Filters < 4.9.3 - Authenticated (Subscriber+) Local File Inclusion
MEDIUM
PLUGIN
shared-files
Shared Files – Frontend File Upload Form & Secure File Sharing <= 1.7.64 - Unauthenticated Path Traversal
HIGH
PLUGIN
wp-user-manager
WP User Manager <= 2.9.17 - Unauthenticated Path Traversal to Local File Inclusion via 'tab' Query Parameter
MEDIUM
PLUGIN
smart-slider-3
Smart Slider 3 <= 3.5.1.36 - Authenticated (Administrator+) Path Traversal to Arbitrary File Read via 'src'/'srcset' Attribute in HTML Export
MEDIUM
PLUGIN
learnpress-import-export
LearnPress <= 4.1.4 - Authenticated (Administrator+) Path Traversal to Arbitrary File Read via 'import-user-file' Parameter
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto