Saltar al contenido

Fuente base de datos: Wordfence Intelligence

UsersWP <= 1.2.65 - Authenticated (Subscriber+) Arbitrary File Deletion via File Upload Field (subida arbitraria de archivos) - version 1.2.66

PLUGIN HIGH CVE-2026-13492

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin UsersWP, que permite a usuarios autenticados con rol de suscriptor o superior eliminar archivos arbitrariamente. Esta brecha de seguridad puede comprometer la integridad del sistema y permitir la pérdida de datos operativos.

Contexto técnico

El fallo se origina en la funcionalidad de carga de archivos del plugin UsersWP, donde se permite a usuarios autenticados manipular archivos sin las debidas restricciones. Esto crea una superficie de ataque donde un usuario malintencionado puede eliminar archivos críticos del servidor.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la eliminación de archivos esenciales, lo que puede interrumpir la operativa del sitio web y afectar la confianza de los usuarios. Además, la severidad alta (CVSS 8.8) indica un riesgo inminente que debe ser abordado con urgencia.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la carga de archivos maliciosos que son procesados por el sistema, permitiendo al atacante ejecutar comandos de eliminación sobre archivos existentes.

Mitigación recomendada

Actualizar el plugin UsersWP a la versión 1.2.66 o superior. Revisar los permisos de usuario y limitar el acceso a funciones críticas según el rol. Implementar medidas de seguridad adicionales, como copias de seguridad regulares y monitoreo de cambios en archivos.

Señales de detección

Señales que pueden indicar explotación incluyen registros de eliminación de archivos inusuales y cambios en la configuración de permisos de usuario en el sistema.

Alcance afectado

Las versiones afectadas son todas las versiones de UsersWP hasta la 1.2.65. No se han confirmado otros escenarios de explotación fuera de este contexto.

Vulnerabilidades relacionadas

LOW PLUGIN

userswp

UsersWP <= 1.2.63 - Insecure Direct Object Reference to Authenticated (Editor+) Arbitrary User Avatar/Banner Reset via 'user_id' Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Restricted Usermeta Modification via 'htmlvar' Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.60 - Authenticated (Subscriber+) Stored Cross-Site Scripting via User Badge Link Substitution

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.53 - Cross-Site Request Forgery

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.48 - Cross-Site Request Forgery

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.47 - Missing Authorization

MEDIUM PLUGIN

userswp

UsersWP – Front-end login form, User Registration, User Profile & Members Directory plugin for WP <= 1.2.44 - Authenticated (Subscriber+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad