Fuente base de datos: Wordfence Intelligence

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3 - Authenticated (Contributor+) Server-Side Request Forgery via 'imageUrl' (Server-Side Request Forgery (SSRF)) - version 3.6.0

PLUGIN MEDIUM CVE-2026-2948

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo SSRF en el plugin Gutenverse, afectando a versiones hasta la 3.5.3. Esta falla permite a usuarios autenticados realizar solicitudes no autorizadas, lo que puede comprometer la seguridad del sistema.

Contexto técnico

La vulnerabilidad se encuentra en el componente Gutenverse, específicamente en la función 'imageUrl'. Los atacantes con privilegios de contribuidor o superiores pueden aprovechar esta debilidad para enviar solicitudes maliciosas al servidor, afectando la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles y la posibilidad de que un atacante realice acciones no autorizadas en el servidor. Esto puede resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación se lleva a cabo mediante el envío de solicitudes manipuladas a través de la función vulnerable, permitiendo al atacante acceder a recursos internos o realizar acciones no autorizadas.

Mitigación recomendada

Actualizar el plugin Gutenverse a la versión 3.6.0 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para detectar actividades inusuales relacionadas con el uso de la función 'imageUrl'. Implementar medidas de seguridad adicionales, como la limitación de privilegios de usuario y la monitorización del tráfico interno.

Señales de detección

Señales de alerta incluyen intentos de acceso a la función 'imageUrl' desde cuentas de usuario no autorizadas o patrones inusuales en los registros de solicitudes HTTP.

Alcance afectado

Las versiones de Gutenverse hasta la 3.5.3 están afectadas. No se han confirmado otros escenarios fuera de esta versión.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

gutenverse

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'separatorIconSVG'

MEDIUM THEME

ona

Ona <= 1.26 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'download_link' Parameter

HIGH PLUGIN

pixelyoursite-pro

PixelYourSite Pro <= 12.5.0.1 - Unauthenticated Blind Server-Side Request Forgery via 'urls[]' Parameter

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1057 - Authenticated (Contributor+) Server-Side Request Forgery via CSV URL Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

MEDIUM PLUGIN

gutenverse

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.4.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'imageLoad'

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto