Fuente base de datos: Wordfence Intelligence

Kids Online Store <= 0.8.9 - Authenticated (Subscriber+) Arbitrary File Upload (subida arbitraria de archivos) - version 0.9.0

THEME HIGH CVE-2026-40750

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La vulnerabilidad en el tema Kids Online Store permite a usuarios autenticados (nivel Suscriptor o superior) realizar cargas de archivos arbitrarios. Esto puede comprometer la seguridad del sitio, permitiendo la ejecución de código malicioso y afectando la integridad del sistema.

Contexto técnico

El fallo se encuentra en el componente 'Kids Online Store' hasta la versión 0.8.9, donde un usuario autenticado puede subir archivos sin restricciones adecuadas. La superficie de ataque se centra en formularios de carga de archivos que no validan correctamente el tipo de contenido.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de código no autorizado en el servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio. La severidad de este fallo, con un CVSS de 8.8, indica un alto riesgo para la integridad del sitio.

Vector de explotación

Generalmente, la explotación se realiza mediante la carga de archivos maliciosos que pueden ser ejecutados en el servidor, aprovechando la falta de validación en los permisos de usuario.

Mitigación recomendada

Actualizar el tema Kids Online Store a la versión 0.9.0 o superior. Revisar y restringir los permisos de usuario para evitar que suscriptores puedan cargar archivos. Implementar medidas de validación más estrictas sobre los tipos de archivo permitidos en formularios de carga.

Señales de detección

Monitorear los registros de acceso y errores en busca de patrones inusuales en las solicitudes de carga de archivos, así como verificar configuraciones de permisos de usuario.

Alcance afectado

Las versiones afectadas del tema son todas las anteriores a la 0.9.0. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

CRITICAL THEME

charity-zone

Charity Zone <= 1.1.1 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH THEME

kids-gift-shop

Kids Gift Shop <= 0.5.4 - Authenticated (Subscriber+) Arbitrary File Upload

CRITICAL THEME

restaurant-zone

Restaurant Zone <= 0.7.8 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH THEME

webenvo

Webenvo <= 0.0.6 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

wpstream

WpStream – Live Streaming, Video on Demand, Pay Per View < 4.11.2 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

academy-pro

Academy LMS Pro < 3.5.2 - Authenticated (Custom+) Arbitrary File Upload

HIGH PLUGIN

wp-businessdirectory

WP-BusinessDirectory – Business directory plugin for WordPress <= 4.0.0 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

gerador-de-certificados-devapps

Gerador de Certificados – DevApps <= 1.3.6 - Authenticated (Administrator+) Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto