Fuente base de datos: Wordfence Intelligence

Premmerce Dev Tools <= 2.0 - Missing Authorization to Authenticated (Subscriber+) Remote Code Execution via Plugin Creation

PLUGIN HIGH CVE-2026-6933

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Premmerce Dev Tools que permite la ejecución remota de código debido a una falta de autorización. Esta falla puede comprometer gravemente la seguridad del sitio, permitiendo a atacantes autenticados ejecutar código malicioso.

Contexto técnico

La vulnerabilidad se origina en el plugin Premmerce Dev Tools en versiones anteriores a la 2.0, donde la falta de controles de autorización permite a usuarios con el rol de suscriptor o superior crear plugins maliciosos. Esto expone el sitio a ataques de ejecución remota de código (RCE).

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el servidor, lo que podría llevar a la toma de control del sitio, robo de datos sensibles o inyección de malware.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al panel de administración con credenciales válidas y creando un plugin que contenga código malicioso.

Mitigación recomendada

1. Actualizar el plugin Premmerce Dev Tools a la versión 2.0 o superior para cerrar la vulnerabilidad. 2. Revisar los registros de actividad para identificar accesos no autorizados o sospechosos. 3. Implementar controles adicionales de acceso para roles de usuario, limitando las capacidades de los suscriptores.

Señales de detección

Señales de riesgo incluyen la creación de plugins inusuales por usuarios autenticados, así como entradas en los registros de actividad que indiquen modificaciones no autorizadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0 del plugin Premmerce Dev Tools. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woocommerce-gateway-stripe

WooCommerce Stripe Payment Gateway <= 10.7.0 - Missing Authorization to Unauthenticated Order Status Manipulation via 'order' Parameter

MEDIUM PLUGIN

hippoo

Hippoo Mobile App for WooCommerce <= 1.9.5 - Missing Authorization

MEDIUM PLUGIN

fastpicker

FastPicker, an order picker and order management system (oms) for WooCommerce on steroids <= 1.0.2 - Cross-Site Request Forgery via Settings Save

HIGH PLUGIN

recoverexit-for-woocommerce

Recover Exit For WooCommerce <= 1.0.3 - Unauthenticated Local File Inclusion via 'tpf' Parameter

CRITICAL PLUGIN

hippoo

Hippoo Mobile App for WooCommerce <= 1.9.4 - Unauthenticated Authentication Bypass to Administrator Account Takeover via REST API

HIGH PLUGIN

codepress-admin-columns

Admin Columns <= 7.0.18 - Authenticated (Contributor+) PHP Object Injection to Remote Code Execution via Custom Field Meta Value

MEDIUM PLUGIN

wpforms-lite

WPForms <= 1.10.0.4 - Unauthenticated Insufficient Verification of Data Authenticity via PayPal Commerce Webhook Endpoint

HIGH PLUGIN

integracao-rd-station

RD Station <= 5.6.0 - Authenticated (Contributor+) Remote Code Execution

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto