Fuente base de datos: Wordfence Intelligence

Highland Software Custom Role Manager <= 1.0.0 - Authenticated (Subscriber+) Privilege Escalation (escalada de privilegios) - version 1.0.1

PLUGIN HIGH CVE-2026-7106

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalada de privilegios en el plugin Highland Software Custom Role Manager, que afecta a versiones anteriores a 1.0.1. Esta falla permite a usuarios autenticados con rol de suscriptor o superior obtener privilegios no autorizados, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el componente Highland Software Custom Role Manager, específicamente en la gestión de roles y permisos. Los atacantes pueden explotar esta falla a través de solicitudes autenticadas, lo que les permite elevar sus privilegios dentro del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite que usuarios no autorizados accedan a funciones administrativas, lo que podría resultar en cambios no deseados en la configuración del sitio, acceso a datos sensibles o incluso la toma de control total del mismo.

Vector de explotación

La explotación suele realizarse mediante la manipulación de solicitudes autenticadas que permiten la escalada de privilegios, lo que requiere que el atacante tenga acceso como suscriptor o superior.

Mitigación recomendada

Actualizar el plugin Highland Software Custom Role Manager a la versión 1.0.1 o superior. Revisar y auditar los roles y permisos asignados a los usuarios existentes. Implementar medidas de seguridad adicionales, como la monitorización de actividad inusual en cuentas de usuario.

Señales de detección

Señales que pueden indicar explotación incluyen cambios inesperados en roles de usuario o permisos, así como registros de actividad sospechosa en cuentas con privilegios elevados.

Alcance afectado

Las versiones del plugin Highland Software Custom Role Manager hasta la 1.0.0 están afectadas. No se han reportado casos de explotación en versiones posteriores a la 1.0.1.

Vulnerabilidades relacionadas

HIGH PLUGIN

wp-business-intelligence-lite

WP Business Intelligence Lite <= 3.2.0 - Authenticated (Subscriber+) Missing Authorization to Privilege Escalation via Arbitrary SQL Modification

CRITICAL PLUGIN

mentoring

Mentoring <= 1.2.8 - Unauthenticated Privilege Escalation in mentoring_process_registration

HIGH PLUGIN

import-users-from-csv-with-meta

Import and export users and customers <= 2.0.8 - Authenticated (Subscriber+) Privilege Escalation via Multisite Capability Meta Fields

MEDIUM PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.2.1 - Unauthenticated Authorization Bypass via Remote Approval Endpoint

HIGH PLUGIN

latepoint

LatePoint <= 5.4.1 - Authenticated (Agent+) Privilege Escalation to Administrator via 'connect-customer-to-wp-user' Ability

CRITICAL PLUGIN

sendmachine

Sendmachine for WordPress <= 1.0.20 - Unauthenticated SMTP Hijack to Privilege Escalation via manage_admin_requests

HIGH PLUGIN

b-blocks

bBlocks – Essential Gutenberg Blocks & Patterns Collection <= 2.0.31 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

acymailing

AcyMailing 9.11.0 - 10.8.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto