Fuente base de datos: Wordfence Intelligence

WebStack <= 1.2024 - Unauthenticated Arbitrary File Upload (subida arbitraria de archivos)

THEME CRITICAL CVE-2026-1555

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad crítica en el tema WebStack (versión <= 1.2024) que permite la carga de archivos arbitrarios sin autenticación. Esta falla puede comprometer gravemente la seguridad del sitio, permitiendo a atacantes subir archivos maliciosos.

Contexto técnico

El fallo se origina en la falta de controles de autenticación en el proceso de carga de archivos, lo que permite a usuarios no autorizados subir archivos al servidor. Esto se puede realizar a través de formularios de carga accesibles públicamente.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución remota de código, acceso no autorizado a datos sensibles y potencialmente comprometer la integridad del servidor. Esto puede tener repercusiones financieras y de reputación significativas para la organización.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a los puntos de carga de archivos del tema WebStack, sin necesidad de autenticarse.

Mitigación recomendada

Actualizar el tema WebStack a la versión 1.2024 o superior. Implementar controles de acceso adecuados para las funciones de carga de archivos. Realizar auditorías de seguridad periódicas para identificar y mitigar vulnerabilidades similares.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes de carga de archivos y verificar configuraciones de permisos en el servidor.

Alcance afectado

Las versiones del tema WebStack anteriores a la 1.2024 están afectadas. No se ha confirmado la existencia de otras versiones vulnerables.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

breeze

Breeze Cache <= 2.5.2 - Unauthenticated Exposure of Sensitive Information to an Unauthorized Actor via Crafted Login Cookie

CRITICAL PLUGIN

OTP Login With Phone Number, OTP Verification <= 1.8.60 - Unauthenticated Authentication Bypass via Firebase OTP Verification

MEDIUM PLUGIN

contact-form-7-paypal-add-on

Contact Form 7 – PayPal & Stripe Add-on <= 2.4.9 - Unauthenticated Payment Bypass via Insufficient Verification of Data Authenticity via PayPal IPN Handler ('invoice'/'mc_gross' Verification)

MEDIUM PLUGIN

seo-by-rank-math

Rank Math SEO – AI SEO Tools to Dominate SEO Rankings <= 1.0.271 - Missing Authorization to Unauthenticated Homepage Settings Modification

CRITICAL PLUGIN

wp-travel-pro

WP Travel Pro <= 10.6.0 - Missing Authorization to Unauthenticated Arbitrary User Deletion Including Administrators

MEDIUM PLUGIN

geo-mashup

Geo Mashup <= 1.13.19 - Missing Authorization to Unauthenticated Plugin Settings Disclosure via 'geo_mashup_content' Parameter

MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar <= 1.6.11.8 - Missing Authorization to Unauthenticated Arbitrary Modification via Bulk Appointments REST API Endpoint

MEDIUM PLUGIN

wp-promoter

WP Promoter <= 1.3 - Missing Authorization to Unauthenticated Statistics Reset via wpp-reset_stats AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto