Fuente base de datos: Wordfence Intelligence

Highland Software Custom Role Manager <= 1.0.0 - Authenticated (Subscriber+) Privilege Escalation (escalada de privilegios) - version 1.0.1

PLUGIN HIGH CVE-2026-7106

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalada de privilegios en el plugin Highland Software Custom Role Manager, que afecta a versiones anteriores a 1.0.1. Esta falla permite a usuarios autenticados con rol de suscriptor o superior obtener privilegios no autorizados, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el componente Highland Software Custom Role Manager, específicamente en la gestión de roles y permisos. Los atacantes pueden explotar esta falla a través de solicitudes autenticadas, lo que les permite elevar sus privilegios dentro del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite que usuarios no autorizados accedan a funciones administrativas, lo que podría resultar en cambios no deseados en la configuración del sitio, acceso a datos sensibles o incluso la toma de control total del mismo.

Vector de explotación

La explotación suele realizarse mediante la manipulación de solicitudes autenticadas que permiten la escalada de privilegios, lo que requiere que el atacante tenga acceso como suscriptor o superior.

Mitigación recomendada

Actualizar el plugin Highland Software Custom Role Manager a la versión 1.0.1 o superior. Revisar y auditar los roles y permisos asignados a los usuarios existentes. Implementar medidas de seguridad adicionales, como la monitorización de actividad inusual en cuentas de usuario.

Señales de detección

Señales que pueden indicar explotación incluyen cambios inesperados en roles de usuario o permisos, así como registros de actividad sospechosa en cuentas con privilegios elevados.

Alcance afectado

Las versiones del plugin Highland Software Custom Role Manager hasta la 1.0.0 están afectadas. No se han reportado casos de explotación en versiones posteriores a la 1.0.1.

Vulnerabilidades relacionadas

HIGH PLUGIN

latepoint

LatePoint <= 5.4.1 - Authenticated (Agent+) Privilege Escalation to Administrator via 'connect-customer-to-wp-user' Ability

CRITICAL PLUGIN

sendmachine

Sendmachine for WordPress <= 1.0.20 - Unauthenticated SMTP Hijack to Privilege Escalation via manage_admin_requests

HIGH PLUGIN

b-blocks

bBlocks – Essential Gutenberg Blocks & Patterns Collection <= 2.0.31 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

acymailing

AcyMailing 9.11.0 - 10.8.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

riaxe-product-customizer

Riaxe Product Customizer <= 2.1.2 - Missing Authorization to Unauthenticated Arbitrary Options Update to Privilege Escalation via 'install-imprint' AJAX Action

CRITICAL PLUGIN

barcode-scanner-lite-pos-to-manage-products-inventory-and-orders

Barcode Scanner (+Mobile App) <= 1.11.0 - Unauthenticated Privilege Escalation via Insecure Token Authentication

HIGH PLUGIN

one-click-login-as-user

Login as User <= 1.0.3 - Authenticated (Subscriber+) Privilege Escalation via 'oclaup_original_admin' Cookie

HIGH PLUGIN

bp-groupblog

BuddyPress Groupblog <= 1.9.3 - Authenticated (Subscriber+) Privilege Escalation to Administrator via Group Blog IDOR

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto