Resumen ejecutivo
La vulnerabilidad crítica en el plugin RD Station permite la ejecución remota de código para usuarios autenticados con rol de contribuidor o superior. Esto puede comprometer la seguridad del sitio y exponer datos sensibles.
Fuente base de datos: Wordfence Intelligence
RD Station <= 5.6.0 - Authenticated (Contributor+) Remote Code Execution en Integracao RD Station (ejecucion remota de codigo (RCE)) - version 5.7.0
PLUGIN
HIGH
CVE-2026-49774
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se encuentra en versiones del plugin RD Station hasta la 5.6.0, permitiendo a usuarios autenticados ejecutar código malicioso. La superficie de ataque está relacionada con la falta de validación adecuada en las entradas del sistema.
Impacto potencial
El impacto en el negocio incluye la posibilidad de que un atacante ejecute código arbitrario, lo que puede resultar en la pérdida de datos, alteración del sitio y compromisos de seguridad graves, afectando la confianza de los usuarios.
Vector de explotación
La explotación se lleva a cabo mediante el uso de credenciales de usuario autenticado, permitiendo a un atacante ejecutar comandos maliciosos en el servidor.
Mitigación recomendada
Actualizar el plugin RD Station a la versión 5.7.0 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de los usuarios contribuyentes para minimizar el riesgo de explotación. Implementar medidas de seguridad adicionales, como firewalls y escaneos regulares de seguridad.
Señales de detección
Revisar logs de acceso para detectar intentos inusuales de ejecución de comandos y cambios no autorizados en archivos del sistema.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 5.7.0 del plugin RD Station. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
fastpicker
FastPicker, an order picker and order management system (oms) for WooCommerce on steroids <= 1.0.2 - Cross-Site Request Forgery via Settings Save
HIGH
PLUGIN
recoverexit-for-woocommerce
Recover Exit For WooCommerce <= 1.0.3 - Unauthenticated Local File Inclusion via 'tpf' Parameter
CRITICAL
PLUGIN
hippoo
Hippoo Mobile App for WooCommerce <= 1.9.4 - Unauthenticated Authentication Bypass to Administrator Account Takeover via REST API
HIGH
PLUGIN
codepress-admin-columns
Admin Columns <= 7.0.18 - Authenticated (Contributor+) PHP Object Injection to Remote Code Execution via Custom Field Meta Value
MEDIUM
PLUGIN
wpforms-lite
WPForms <= 1.10.0.4 - Unauthenticated Insufficient Verification of Data Authenticity via PayPal Commerce Webhook Endpoint
MEDIUM
PLUGIN
upsell-order-bump-offer-for-woocommerce
Upsell Funnel Builder for WooCommerce – Create Upsells, Cross-Sells, Order Bumps, Frequently Bought, and Popups. <= 3.1.4 - Missing Authorization
CRITICAL
PLUGIN
woo-product-slider-pro
Product Slider Pro for WooCommerce < 3.5.4 - Backdoored Software
HIGH
PLUGIN
content-visibility-for-divi-builder
Content Visibility for Divi Builder <= 4.02 - Authenticated (Contributor+) Remote Code Execution
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto