Fuente base de datos: Wordfence Intelligence

PixelYourSite Pro <= 12.5.0.1 - Unauthenticated Blind Server-Side Request Forgery via 'urls[]' Parameter (Server-Side Request Forgery (SSRF)) - version 12.5.0.2

PLUGIN HIGH CVE-2026-7049

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo SSRF en el plugin PixelYourSite Pro, que afecta a las versiones hasta 12.5.0.1. Esta falla permite realizar solicitudes no autenticadas, lo que puede comprometer la seguridad del servidor y exponer datos sensibles.

Contexto técnico

La vulnerabilidad se origina en el parámetro 'urls[]', permitiendo que un atacante envíe solicitudes a recursos internos del servidor. Esto ocurre sin necesidad de autenticación, lo que amplifica el riesgo de explotación.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la explotación de esta vulnerabilidad puede llevar al acceso no autorizado a información sensible y a la manipulación de recursos internos, afectando la integridad y disponibilidad del servicio.

Vector de explotación

El ataque se lleva a cabo enviando solicitudes manipuladas a través del parámetro 'urls[]', lo que permite a un atacante acceder a recursos internos del servidor sin autenticación.

Mitigación recomendada

Actualizar el plugin PixelYourSite Pro a la versión 12.5.0.2 o superior para corregir la vulnerabilidad. Revisar los registros del servidor en busca de actividades sospechosas relacionadas con el uso del parámetro 'urls[]'. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web, para filtrar solicitudes no autorizadas.

Señales de detección

Señales a observar incluyen registros de acceso inusuales que intenten acceder a recursos internos y configuraciones del plugin que no correspondan a las versiones actualizadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 12.5.0.2. No se han confirmado casos de explotación en instalaciones específicas, pero la vulnerabilidad es de alta severidad.

Vulnerabilidades relacionadas

MEDIUM THEME

ona

Ona <= 1.26 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'download_link' Parameter

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1057 - Authenticated (Contributor+) Server-Side Request Forgery via CSV URL Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH THEME

oxygen

Oxygen <= 6.0.8 - Unauthenticated Server-Side Request Forgery via route_path

HIGH PLUGIN

optin

WowOptin: Next-Gen Popup Maker <= 1.4.29 - Unauthenticated Server-Side Request Forgery via 'link' Parameter in REST API

HIGH PLUGIN

mimetypes-link-icons

MimeTypes Link Icons <= 3.2.20 - Authenticated (Contributor+) Server-Side Request Forgery via Crafted Links in Post Content

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto