Fuente base de datos: Wordfence Intelligence

Divi Form Builder <= 5.1.2 - Unauthenticated Privilege Escalation via 'role' (escalada de privilegios) - version 5.1.3

PLUGIN CRITICAL CVE-2026-5118

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en Divi Form Builder (<= 5.1.2) que permite la escalación de privilegios sin autenticación. Este fallo puede comprometer la seguridad del sitio y permitir a usuarios malintencionados obtener permisos no autorizados.

Contexto técnico

La vulnerabilidad se encuentra en el componente Divi Form Builder, afectando a versiones hasta la 5.1.2. El fallo se produce debido a una gestión inadecuada de los roles de usuario, permitiendo que atacantes sin autenticación modifiquen privilegios.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante obtenga acceso no autorizado a funciones administrativas, lo que podría llevar a la manipulación de datos o configuración del sitio. Esto puede resultar en pérdidas financieras y reputacionales significativas.

Vector de explotación

El vector de explotación implica enviar solicitudes manipuladas que alteren el rol del usuario sin necesidad de autenticación previa, facilitando así la escalación de privilegios.

Mitigación recomendada

Actualizar Divi Form Builder a la versión 5.1.3 o superior para mitigar la vulnerabilidad. Revisar los permisos de usuario y roles asignados para asegurar que no existan configuraciones inusuales. Implementar medidas de seguridad adicionales, como autenticación de dos factores y monitoreo de actividad sospechosa.

Señales de detección

Revisar los logs de acceso en busca de solicitudes inusuales que intenten modificar roles de usuario, así como cambios no autorizados en la configuración del plugin.

Alcance afectado

Las versiones de Divi Form Builder hasta la 5.1.2 son vulnerables. No se ha confirmado la existencia de casos en versiones posteriores a la 5.1.3.

Vulnerabilidades relacionadas

HIGH PLUGIN

events-for-geodirectory

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

booking-package

Booking Package <= 1.7.16 - Authenticated (Editor+) Privilege Escalation via Account Takeover to updateUser AJAX Action

CRITICAL PLUGIN

armember

ARMember Premium <= 7.3.1 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

CRITICAL PLUGIN

kirki

Kirki 6.0.0 - 6.0.6 - Unauthenticated Privilege Escalation via 'handle_forgot_password'

CRITICAL PLUGIN

support_ticket

Support Ticket Management System <= 1.9 - Unauthenticated Privilege Escalation

HIGH PLUGIN

ai-engine

AI Engine – The Chatbot, AI Framework & MCP for WordPress <= 3.4.9 - Authenticated (Editor+) Privilege Escalation

CRITICAL PLUGIN

acf-extended

Advanced Custom Fields: Extended <= 0.9.2.5 - Unauthenticated Privilege Escalation via Validation Bypass to '_acf_post_id' Parameter

CRITICAL PLUGIN

wp-google-map-gold

WP Maps Pro <= 6.1.0 - Unauthenticated Privilege Escalation via Administrator Account Creation to wpgmp_temp_access_ajax AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto