Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

HTTP Headers <= 1.19.2 - Authenticated (Administrator+) CRLF Injection via Custom Header Values (vulnerabilidad)

PLUGIN MEDIUM CVE-2026-2717

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La vulnerabilidad CRLF en el plugin HTTP Headers hasta la versión 1.19.2 permite inyecciones a través de valores de encabezados personalizados. Esta falla puede ser explotada por administradores, comprometiendo la integridad del sistema.

Contexto técnico

El fallo se origina en el plugin HTTP Headers, donde se permite la inyección de caracteres de retorno de carro y salto de línea (CRLF) al definir encabezados personalizados. Esto puede ser aprovechado por un administrador autenticado para alterar la respuesta HTTP del servidor.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en una manipulación de la respuesta del servidor, lo que podría llevar a la ejecución de ataques de redirección o phishing. Aunque la severidad es media, la explotación exitosa puede comprometer la confianza del usuario y la seguridad de la información.

Vector de explotación

La explotación se realiza a través de un administrador autenticado que introduce valores maliciosos en los encabezados personalizados, permitiendo la inyección CRLF.

Mitigación recomendada

Actualizar el plugin HTTP Headers a la versión 1.19.2 o superior. Revisar y auditar los encabezados personalizados configurados para detectar posibles inyecciones. Implementar medidas de seguridad adicionales, como la validación de entradas en formularios de administración.

Señales de detección

Revisar los logs del servidor para detectar cambios inesperados en las respuestas HTTP o encabezados que no coincidan con la configuración esperada.

Alcance afectado

Afecta a todas las versiones del plugin HTTP Headers hasta la 1.19.2. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

http-headers

HTTP Headers <= 1.19.2 - Authenticated (Administrator+) External Control of File Name or Path to RCE via 'hh_htpasswd_path' and 'hh_www_authenticate_user' Parameters

Ver ficha
MEDIUM PLUGIN

http-headers

HTTP Headers <= 1.19.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Custom Headers' Plugin Setting

Ver ficha
MEDIUM PLUGIN

http-headers

HTTP Headers <= 1.18.11 - Server-Side Request Forgery

Ver ficha
MEDIUM PLUGIN

http-headers

HTTP Headers <= 1.18.11 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

http-headers

HTTP Headers <= 1.18.10 - Authenticated(Administrator+) Remote Code Execution

Ver ficha
MEDIUM PLUGIN

http-headers

HTTP Headers <= 1.18.8 - Authenticated(Administrator+) SQL Injection

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad