Fuente base de datos: Wordfence Intelligence

WebStack <= 1.2024 - Unauthenticated Arbitrary File Upload

THEME CRITICAL CVE-2026-1555

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha detectado una vulnerabilidad crítica en el tema WebStack (versión <= 1.2024) que permite la carga de archivos arbitrarios sin autenticación. Esta falla puede comprometer gravemente la seguridad del sitio, permitiendo a atacantes subir archivos maliciosos.

Contexto técnico

El fallo se origina en la falta de controles de autenticación en el proceso de carga de archivos, lo que permite a usuarios no autorizados subir archivos al servidor. Esto se puede realizar a través de formularios de carga accesibles públicamente.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución remota de código, acceso no autorizado a datos sensibles y potencialmente comprometer la integridad del servidor. Esto puede tener repercusiones financieras y de reputación significativas para la organización.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a los puntos de carga de archivos del tema WebStack, sin necesidad de autenticarse.

Mitigación recomendada

Actualizar el tema WebStack a la versión 1.2024 o superior. Implementar controles de acceso adecuados para las funciones de carga de archivos. Realizar auditorías de seguridad periódicas para identificar y mitigar vulnerabilidades similares.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes de carga de archivos y verificar configuraciones de permisos en el servidor.

Alcance afectado

Las versiones del tema WebStack anteriores a la 1.2024 están afectadas. No se ha confirmado la existencia de otras versiones vulnerables.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

visa-acceptance-solutions

Visa Acceptance Solutions <= 2.1.0 - Unauthenticated Authentication Bypass via Billing Email

MEDIUM PLUGIN

cartasi-x-pay

Nexi XPay <= 8.3.0 - Missing Authorization to Unauthenticated Order Status Modification

MEDIUM PLUGIN

interactive-3d-flipbook-powered-physics-engine

3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery <= 1.16.17 - Missing Authorization to Unauthenticated Private/Draft Flipbook Data Exposure

MEDIUM PLUGIN

metform-pro

MetForm Pro <= 3.9.7 - Unauthenticated Payment Amount Manipulation via 'mf-calculation'

MEDIUM PLUGIN

advanced-custom-fields

Advanced Custom Fields (ACF®) <= 6.7.0 - Unauthenticated Missing Authorization to Arbitrary Post/Page Disclosure via AJAX Field Query Parameters

MEDIUM PLUGIN

user-registration

User Registration & Membership <= 5.1.4 - Unauthenticated Open Redirect via 'redirect_to_on_logout' Parameter

CRITICAL PLUGIN

learnpress

LearnPress <= 4.3.2.8 - Missing Authorization to Unauthenticated Arbitrary Quiz Answer Deletion

HIGH PLUGIN

tutor

Tutor LMS <= 3.9.7 - Missing Authorization to Unauthenticated Arbitrary Billing Profile Overwrite via 'order_id' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto