Fuente base de datos: Wordfence Intelligence

MDTF – Meta Data and Taxonomies Filter <= 1.3.8 - Unauthenticated Local File Inclusion en WP Meta Data Filter AND Taxonomy Filter (inclusion local de archivos (LFI)) - version 1.3.9

PLUGIN HIGH CVE-2026-54845

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin MDTF – Meta Data and Taxonomies Filter, que afecta a versiones hasta 1.3.8. Este fallo de alta severidad puede comprometer la seguridad de los sistemas afectados, permitiendo el acceso no autorizado a archivos del servidor.

Contexto técnico

La vulnerabilidad se presenta en el plugin MDTF, permitiendo a un atacante no autenticado acceder a archivos locales del servidor a través de solicitudes manipuladas. La superficie de ataque se centra en la falta de validación adecuada de las entradas del usuario.

Impacto potencial

El impacto potencial incluye la exposición de información sensible y la posibilidad de ejecución de código malicioso, lo que podría llevar a compromisos mayores en la infraestructura del negocio. La severidad de esta vulnerabilidad, con un CVSS de 8.1, indica un riesgo significativo que debe ser abordado urgentemente.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que manipulan los parámetros del plugin, permitiendo la inclusión de archivos del sistema.

Mitigación recomendada

Actualizar el plugin MDTF a la versión 1.3.9 o superior para corregir la vulnerabilidad. Revisar y aplicar políticas de seguridad adicionales en la configuración del servidor. Monitorear los registros de acceso para detectar actividades sospechosas relacionadas con la explotación de esta vulnerabilidad.

Señales de detección

Señales de alerta incluyen accesos inusuales a archivos del sistema en los registros del servidor y patrones de solicitud que intentan acceder a archivos sensibles.

Alcance afectado

Las versiones del plugin MDTF hasta la 1.3.8 están afectadas. No se han confirmado otros escenarios o plugins relacionados que presenten la misma vulnerabilidad.

Vulnerabilidades relacionadas

HIGH PLUGIN

simple-file-list

Simple File List <= 6.3.7 - Unauthenticated Arbitrary File Deletion via Path Traversal in 'eeSubFolder' Parameter

HIGH PLUGIN

wp-meta-data-filter-and-taxonomy-filter

MDTF – Meta Data and Taxonomies Filter <= 1.3.7 - Unauthenticated SQL Injection

CRITICAL PLUGIN

betterdocs-pro

BetterDocs Pro <= 3.8.0 - Unauthenticated Local File Inclusion via doc_style

HIGH PLUGIN

motors-car-dealership-classified-listings

Motors – Car Dealership & Classified Listings Plugin <= 1.4.109 - Authenticated (Subscriber+) Local File Inclusion

HIGH THEME

kastell

Kastell <= 2.0 - Unauthenticated Local File Inclusion

MEDIUM PLUGIN

fastdup

FastDup – Fastest WordPress Migration & Duplicator <= 2.7.2 - Unauthenticated Path Traversal

HIGH PLUGIN

wp-google-map-plugin

WP Maps – Google Maps,OpenStreetMap,Mapbox,Store Locator,Listing,Directory & Filters < 4.9.3 - Authenticated (Subscriber+) Local File Inclusion

MEDIUM PLUGIN

shared-files

Shared Files – Frontend File Upload Form & Secure File Sharing <= 1.7.64 - Unauthenticated Path Traversal

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto