Fuente base de datos: Wordfence Intelligence

AdRotate Banner Manager <= 5.17.7 - Authenticated (Contributor+) PHP Code Injection via 'banner' Shortcode Attribute (ejecucion remota de codigo (RCE)) - version 5.17.8

PLUGIN HIGH CVE-2026-12242

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección de código PHP en el plugin AdRotate Banner Manager, afectando a versiones hasta la 5.17.7. Este fallo permite a usuarios autenticados con rol de colaborador o superior ejecutar código malicioso, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el uso del atributo 'banner' en el shortcode del plugin, lo que permite la inyección de código PHP. La exposición se da en sitios donde el plugin está instalado y habilitado, y donde se permite a usuarios con permisos adecuados manipular este atributo.

Impacto potencial

El impacto en la seguridad es significativo, ya que un atacante podría ejecutar código arbitrario, lo que podría llevar a la toma de control del sitio. Esto no solo afecta la integridad del sistema, sino que también puede comprometer datos sensibles y la confianza de los usuarios.

Vector de explotación

La explotación se realiza mediante la manipulación del shortcode 'banner' en las publicaciones o páginas, permitiendo la inyección de código PHP que se ejecuta en el servidor.

Mitigación recomendada

Actualizar el plugin AdRotate Banner Manager a la versión 5.17.8 o superior. Revisar los permisos de usuario y restringir el acceso a roles no confiables. Implementar medidas de seguridad adicionales, como WAF (Web Application Firewall), para mitigar riesgos futuros.

Señales de detección

Revisar los registros de acceso en busca de patrones inusuales en el uso del shortcode 'banner' y verificar configuraciones de permisos de usuario.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.17.8. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

upi-qr-code-payment-for-woocommerce

UPI QR Code Payment Gateway for WooCommerce <= 1.6.2 - Missing Authorization

MEDIUM PLUGIN

paymob-for-woocommerce

Paymob for WooCommerce <= 4.1.2 - Missing Authorization

MEDIUM PLUGIN

royal-elementor-addons

Royal Addons for Elementor – Addons and Templates Kit for Elementor 1.7.1058 - 1.7.1059 - Authenticated (Contributor+) Arbitrary File Read via Data Table Widget CSV File Source

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.3 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Order Modification via Multiple AJAX Handlers

HIGH PLUGIN

cf-images

Offload, AI & Optimize with Cloudflare Images <= 1.10.2 - Authenticated (Author+) Remote Code Execution via 'api-key' / 'account-id' Parameters in cf_images_do_setup AJAX Action

MEDIUM PLUGIN

woocommerce-pos

WCPOS – Point of Sale (POS) plugin for WooCommerce <= 1.8.14 - Missing Authorization

HIGH PLUGIN

premmerce-dev-tools

Premmerce Dev Tools <= 2.0 - Missing Authorization to Authenticated (Subscriber+) Remote Code Execution via Plugin Creation

MEDIUM PLUGIN

woocommerce-gateway-stripe

WooCommerce Stripe Payment Gateway <= 10.7.0 - Missing Authorization to Unauthenticated Order Status Manipulation via 'order' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto