Fuente base de datos: Wordfence Intelligence

AI Chatbot & Workflow Automation by AIWU <= 1.4.17 - Unauthenticated Privilege Escalation en AI Copilot Content Generator (escalada de privilegios) - version 1.4.19

PLUGIN CRITICAL CVE-2026-48879

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de escalada de privilegios en el plugin AI Chatbot & Workflow Automation by AIWU, afectando a versiones hasta la 1.4.17. Esta falla permite a un atacante no autenticado obtener privilegios elevados, comprometiendo la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se presenta en el componente del plugin AI Copilot, permitiendo que un atacante no autenticado ejecute acciones con privilegios de administrador. La exposición ocurre en entornos donde este plugin está activo y no se han aplicado las actualizaciones necesarias.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la toma de control total del sitio, permitiendo al atacante realizar cambios en la configuración, robar datos sensibles o incluso desactivar medidas de seguridad. Esto podría llevar a pérdidas económicas y de reputación significativas para la organización.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al servidor que ejecuta el plugin, sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin AI Copilot a la versión 1.4.19 o superior para cerrar la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los usuarios necesarios tengan privilegios elevados. Implementar medidas de seguridad adicionales, como firewalls y monitoreo de actividad sospechosa.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales, como intentos de acceso a funciones administrativas sin autenticación previa.

Alcance afectado

Las versiones del plugin AI Chatbot & Workflow Automation by AIWU hasta la 1.4.17 están afectadas. No se han confirmado otros escenarios o plugins relacionados.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

doctreat_core

Doctreat Core <= 1.6.8 - Unauthenticated Privilege Escalation

HIGH PLUGIN

events-for-geodirectory

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

latepoint

LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.5.1 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

booking-package

Booking Package <= 1.7.16 - Authenticated (Editor+) Privilege Escalation via Account Takeover to updateUser AJAX Action

HIGH PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.3 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

armember

ARMember Premium <= 7.3.1 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

CRITICAL PLUGIN

supportboard

Support Board < 3.8.9 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

kirki

Kirki 6.0.0 - 6.0.6 - Unauthenticated Privilege Escalation via 'handle_forgot_password'

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto