Fuente base de datos: Wordfence Intelligence

Coming Soon Page, Under Construction & Maintenance Mode by SeedProd <= 6.19.8 - Authenticated (Editor+) Server-Side Request Forgery (Server-Side Request Forgery (SSRF)) - version 6.19.9

PLUGIN MEDIUM CVE-2026-39464

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin 'Coming Soon Page, Under Construction & Maintenance Mode' por SeedProd en versiones hasta 6.19.8. Esta falla puede permitir a un atacante autenticado realizar solicitudes no autorizadas desde el servidor, comprometiendo la seguridad de la instalación de WordPress.

Contexto técnico

La vulnerabilidad SSRF se presenta en el plugin Coming Soon de SeedProd, permitiendo a usuarios con privilegios de Editor o superiores realizar solicitudes a recursos internos del servidor. Esto ocurre debido a la falta de validación adecuada de las entradas, lo que expone el sistema a ataques que pueden acceder a información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que un atacante podría acceder a datos internos del servidor, lo que podría comprometer la integridad y confidencialidad de la información. Además, podría facilitar la explotación de otras vulnerabilidades en el sistema, afectando la disponibilidad del servicio.

Vector de explotación

La explotación se realiza mediante la manipulación de solicitudes HTTP enviadas desde el servidor, aprovechando la falta de control sobre las direcciones a las que se puede acceder. Esto requiere que el atacante tenga acceso a una cuenta con permisos de Editor o superiores.

Mitigación recomendada

Actualizar el plugin Coming Soon Page a la versión 6.19.9 o superior. Revisar y limitar los permisos de los usuarios en el sitio para evitar accesos no autorizados. Implementar medidas de firewall para restringir el acceso a rutas sensibles del servidor.

Señales de detección

Revisar los logs de acceso del servidor en busca de patrones inusuales de solicitudes internas o externas que no deberían ser accesibles. También se deben auditar los permisos de los usuarios para detectar accesos no autorizados.

Alcance afectado

Las versiones del plugin Coming Soon Page, Under Construction & Maintenance Mode por SeedProd hasta la 6.19.8 están afectadas. La versión 6.19.9 ya corrige esta vulnerabilidad. No se han confirmado casos en versiones anteriores a la 6.19.8.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

gutenverse

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3 - Authenticated (Contributor+) Server-Side Request Forgery via 'imageUrl'

MEDIUM THEME

ona

Ona <= 1.26 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'download_link' Parameter

HIGH PLUGIN

pixelyoursite-pro

PixelYourSite Pro <= 12.5.0.1 - Unauthenticated Blind Server-Side Request Forgery via 'urls[]' Parameter

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1057 - Authenticated (Contributor+) Server-Side Request Forgery via CSV URL Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH THEME

oxygen

Oxygen <= 6.0.8 - Unauthenticated Server-Side Request Forgery via route_path

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto