Resumen ejecutivo
La vulnerabilidad en el tema Webenvo permite la carga arbitraria de archivos por usuarios autenticados con rol de suscriptor o superior. Esto puede comprometer la seguridad del sitio, permitiendo la ejecución de código malicioso.
Fuente base de datos: Wordfence Intelligence
Webenvo <= 0.0.6 - Authenticated (Subscriber+) Arbitrary File Upload (subida arbitraria de archivos) - version 0.0.7
THEME
HIGH
CVE-2026-39589
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se encuentra en la funcionalidad de carga de archivos del tema Webenvo, accesible a usuarios autenticados con permisos adecuados. La exposición se produce cuando los controles de validación de archivos son insuficientes, permitiendo la subida de archivos peligrosos.
Impacto potencial
La explotación de esta vulnerabilidad puede llevar a la ejecución de código no autorizado, poniendo en riesgo la integridad del sitio y la información de los usuarios. Esto puede resultar en pérdida de datos, daños a la reputación y posibles sanciones legales.
Vector de explotación
Los atacantes pueden aprovechar esta vulnerabilidad cargando archivos maliciosos a través de formularios accesibles a usuarios autenticados, lo que podría llevar a la ejecución de scripts o a la instalación de malware.
Mitigación recomendada
Actualizar el tema Webenvo a la versión 0.0.7 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de usuario para evitar que suscriptores puedan cargar archivos. Implementar medidas adicionales de seguridad, como un firewall de aplicaciones web (WAF), para filtrar cargas de archivos peligrosos.
Señales de detección
Revisar los registros de acceso y error para detectar patrones inusuales en las cargas de archivos, así como configuraciones de permisos de usuario que permitan accesos no autorizados.
Alcance afectado
Las versiones de Webenvo anteriores a la 0.0.7 están afectadas. No se han confirmado casos de explotación en versiones posteriores.
Vulnerabilidades relacionadas
HIGH
THEME
kids-online-store
Kids Online Store <= 0.8.9 - Authenticated (Subscriber+) Arbitrary File Upload
CRITICAL
THEME
charity-zone
Charity Zone <= 1.1.1 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
THEME
kids-gift-shop
Kids Gift Shop <= 0.5.4 - Authenticated (Subscriber+) Arbitrary File Upload
CRITICAL
THEME
restaurant-zone
Restaurant Zone <= 0.7.8 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
wpstream
WpStream – Live Streaming, Video on Demand, Pay Per View < 4.11.2 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
academy-pro
Academy LMS Pro < 3.5.2 - Authenticated (Custom+) Arbitrary File Upload
HIGH
PLUGIN
wp-businessdirectory
WP-BusinessDirectory – Business directory plugin for WordPress <= 4.0.0 - Authenticated (Subscriber+) Arbitrary File Upload
HIGH
PLUGIN
gerador-de-certificados-devapps
Gerador de Certificados – DevApps <= 1.3.6 - Authenticated (Administrator+) Arbitrary File Upload
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto