Saltar al contenido

Fuente base de datos: Wordfence Intelligence

UnderConstructionPage PRO <= 5.76 - Authenticated (Subscriber+) Arbitrary File Read via template_thumbnail Parameter en Under Construction Page (vulnerabilidad) - version 5.81

PLUGIN MEDIUM CVE-2026-11426

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin UnderConstructionPage PRO, que permite la lectura arbitraria de archivos a través del parámetro template_thumbnail para usuarios autenticados con rol de suscriptor o superior. Esta brecha de seguridad puede comprometer la integridad de los datos del sitio web.

Contexto técnico

El fallo se origina en el plugin UnderConstructionPage PRO en versiones hasta la 5.76, donde se permite la lectura no autorizada de archivos mediante un parámetro específico. Esto puede ser explotado por usuarios autenticados con privilegios mínimos, lo que amplía la superficie de ataque a usuarios que, en condiciones normales, no tendrían acceso a archivos sensibles.

Impacto potencial

El impacto potencial incluye la exposición de información sensible que podría ser utilizada en ataques posteriores o para comprometer la seguridad del sitio. Además, la vulnerabilidad puede afectar la confianza de los usuarios y la reputación del negocio si se explota.

Vector de explotación

La explotación se lleva a cabo mediante la manipulación del parámetro template_thumbnail en solicitudes HTTP, permitiendo a un atacante leer archivos arbitrarios dentro del servidor.

Mitigación recomendada

Actualizar el plugin UnderConstructionPage PRO a la versión 5.81 o superior. Revisar los permisos de usuario y limitar el acceso a roles no necesarios. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF).

Señales de detección

Monitorear los logs de acceso para solicitudes inusuales que intenten acceder a archivos sensibles. Revisar configuraciones del plugin que permitan el uso del parámetro template_thumbnail.

Alcance afectado

Las versiones afectadas son todas las versiones de UnderConstructionPage PRO hasta la 5.76. No se han confirmado casos en versiones posteriores a la 5.81.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

under-construction-page

Under Construction <= 3.96 - Cross-Site Request Forgery via admin_action_install_weglot

MEDIUM PLUGIN

under-construction-page

Under Construction <= 3.96 - Cross-Site Request Forgery via admin_action_ucp_dismiss_notice

MEDIUM PLUGIN

under-construction-page

Under Construction <= 3.85 - Authenticated Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad