Fuente base de datos: Wordfence Intelligence

Gift Cards For WooCommerce Pro <= 4.2.6 - Unauthenticated Arbitrary File Upload en Giftware - version 4.2.7

PLUGIN CRITICAL CVE-2026-45444

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Gift Cards For WooCommerce Pro, que permite la carga no autenticada de archivos arbitrarios. Esta falla podría comprometer la seguridad del sitio, permitiendo a un atacante ejecutar código malicioso en el servidor.

Contexto técnico

El fallo se origina en el plugin Gift Cards For WooCommerce Pro, afectando a las versiones hasta la 4.2.6. La superficie de ataque se presenta a través de formularios que permiten la carga de archivos sin requerir autenticación, exponiendo el sistema a ataques remotos.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar código malicioso, lo que pone en riesgo la integridad del servidor y la confidencialidad de los datos. Esto podría resultar en pérdidas financieras y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas para cargar archivos arbitrarios, lo que puede llevar a la ejecución de código remoto.

Mitigación recomendada

Actualizar el plugin Gift Cards For WooCommerce Pro a la versión 4.2.7 o superior. Revisar y restringir los permisos de carga de archivos en el servidor. Implementar medidas de seguridad adicionales, como firewalls y escaneos de malware.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes de carga de archivos, así como configuraciones de permisos que permitan la carga sin autenticación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.2.7 del plugin Gift Cards For WooCommerce Pro. No se han confirmado otros escenarios de explotación.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

otp-login

Login with OTP <= 1.6 - Unauthenticated Authentication Bypass via OTP Brute Force

HIGH PLUGIN

affiliate-toolkit-starter

affiliate-toolkit <= 3.8.5 - Authenticated (Editor+) Remote Code Execution

HIGH PLUGIN

insert-headers-and-footers

WPCode <= 2.3.5 - Authenticated (Author+) Remote Code Execution via CPT Capability Bypass via XML-RPC wp.newPost

LOW PLUGIN

b2bking-wholesale-for-woocommerce

B2BKing — Ultimate WooCommerce B2B and Wholesale Plugin — Wholesale Prices, Bulk Order Form & More < 5.2.10 - Missing Authorization

MEDIUM PLUGIN

subscription

Subscription & Recurring Payment for WooCommerce <= 1.9.1 - Cross-Site Request Forgery

MEDIUM PLUGIN

autoship-cloud

Autoship Cloud for WooCommerce Subscription Products <= 2.14.0 - Missing Authorization

HIGH PLUGIN

videowhisper-live-streaming-integration

Broadcast Live Video – Live Streaming : WebRTC, HLS, RTSP, RTMP < 7.1.3 - Authenticated (Admin+) Remote Code Execution

HIGH PLUGIN

woocommerce-paypal-payments

WooCommerce PayPal Payments <= 4.0.1 - Missing Authorization to Unauthenticated Order Manipulation and Information Disclosure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto