Fuente base de datos: Wordfence Intelligence

Simple File List <= 6.3.7 - Unauthenticated Arbitrary File Deletion via Path Traversal in 'eeSubFolder' Parameter (inclusion local de archivos (LFI)) - version 6.3.8

PLUGIN HIGH CVE-2026-11911

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Simple File List, que permite la eliminación no autenticada de archivos a través del parámetro 'eeSubFolder'. Esta falla, clasificada como de alta severidad, puede comprometer la integridad de los datos operativos.

Contexto técnico

El fallo se produce en versiones del plugin Simple File List hasta la 6.3.7, donde un atacante puede manipular la entrada del parámetro 'eeSubFolder' para ejecutar un ataque de Path Traversal. Esto permite acceder y eliminar archivos del servidor sin necesidad de autenticación previa.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos críticos y afectar la disponibilidad del servicio. Las organizaciones que utilizan este plugin corren el riesgo de que sus archivos sean eliminados maliciosamente, lo que podría interrumpir operaciones y dañar la reputación.

Vector de explotación

Generalmente, se explota enviando solicitudes manipuladas que incluyen rutas de archivo no autorizadas, permitiendo así la eliminación de archivos en el servidor.

Mitigación recomendada

Actualizar el plugin Simple File List a la versión 6.3.8 o superior. Revisar y restringir los permisos de acceso a archivos sensibles en el servidor. Implementar medidas de seguridad adicionales, como firewalls de aplicación web, para mitigar ataques de Path Traversal.

Señales de detección

Monitorear los logs de acceso para detectar patrones inusuales en las solicitudes al parámetro 'eeSubFolder' y verificar configuraciones que permitan el acceso no autorizado a archivos.

Alcance afectado

Todas las instalaciones del plugin Simple File List en versiones hasta la 6.3.7 son vulnerables. No se han reportado casos de explotación en versiones posteriores a la 6.3.8.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

simple-file-list

Simple File List <= 6.3.7 - Missing Authorization to Authenticated (Contributor+) Arbitrary File Operations (Deletion / Move / Folder Creation / Download) via 'frontmanage' Shortcode Attribute

HIGH PLUGIN

simple-file-list

Simple File List <= 6.3.7 - Missing Authorization to Unauthenticated File Modification via simplefilelist_edit_job AJAX Action

HIGH PLUGIN

wp-meta-data-filter-and-taxonomy-filter

MDTF – Meta Data and Taxonomies Filter <= 1.3.8 - Unauthenticated Local File Inclusion

CRITICAL PLUGIN

betterdocs-pro

BetterDocs Pro <= 3.8.0 - Unauthenticated Local File Inclusion via doc_style

HIGH PLUGIN

motors-car-dealership-classified-listings

Motors – Car Dealership & Classified Listings Plugin <= 1.4.109 - Authenticated (Subscriber+) Local File Inclusion

HIGH THEME

kastell

Kastell <= 2.0 - Unauthenticated Local File Inclusion

MEDIUM PLUGIN

fastdup

FastDup – Fastest WordPress Migration & Duplicator <= 2.7.2 - Unauthenticated Path Traversal

HIGH PLUGIN

wp-google-map-plugin

WP Maps – Google Maps,OpenStreetMap,Mapbox,Store Locator,Listing,Directory & Filters < 4.9.3 - Authenticated (Subscriber+) Local File Inclusion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto