Fuente base de datos: Wordfence Intelligence

Highland Software Custom Role Manager <= 1.0.0 - Authenticated (Subscriber+) Privilege Escalation (escalada de privilegios) - version 1.0.1

PLUGIN HIGH CVE-2026-7106

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalada de privilegios en el plugin Highland Software Custom Role Manager, que afecta a versiones anteriores a 1.0.1. Esta falla permite a usuarios autenticados con rol de suscriptor o superior obtener privilegios no autorizados, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el componente Highland Software Custom Role Manager, específicamente en la gestión de roles y permisos. Los atacantes pueden explotar esta falla a través de solicitudes autenticadas, lo que les permite elevar sus privilegios dentro del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite que usuarios no autorizados accedan a funciones administrativas, lo que podría resultar en cambios no deseados en la configuración del sitio, acceso a datos sensibles o incluso la toma de control total del mismo.

Vector de explotación

La explotación suele realizarse mediante la manipulación de solicitudes autenticadas que permiten la escalada de privilegios, lo que requiere que el atacante tenga acceso como suscriptor o superior.

Mitigación recomendada

Actualizar el plugin Highland Software Custom Role Manager a la versión 1.0.1 o superior. Revisar y auditar los roles y permisos asignados a los usuarios existentes. Implementar medidas de seguridad adicionales, como la monitorización de actividad inusual en cuentas de usuario.

Señales de detección

Señales que pueden indicar explotación incluyen cambios inesperados en roles de usuario o permisos, así como registros de actividad sospechosa en cuentas con privilegios elevados.

Alcance afectado

Las versiones del plugin Highland Software Custom Role Manager hasta la 1.0.0 están afectadas. No se han reportado casos de explotación en versiones posteriores a la 1.0.1.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

doctreat_core

Doctreat Core <= 1.6.8 - Unauthenticated Privilege Escalation

HIGH PLUGIN

events-for-geodirectory

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

latepoint

LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.5.1 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

booking-package

Booking Package <= 1.7.16 - Authenticated (Editor+) Privilege Escalation via Account Takeover to updateUser AJAX Action

HIGH PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.3 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

armember

ARMember Premium <= 7.3.1 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

CRITICAL PLUGIN

ai-copilot-content-generator

AI Chatbot & Workflow Automation by AIWU <= 1.4.17 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

supportboard

Support Board < 3.8.9 - Unauthenticated Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto