Saltar al contenido

Fuente base de datos: Wordfence Intelligence

WP Database Backup <= 7.11 - Authenticated (Administrator+) OS Command Injection via 'wp_db_exclude_table' Parameter (vulnerabilidad) - version 7.12

PLUGIN HIGH CVE-2026-9834

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP Database Backup, que permite la inyección de comandos del sistema a través del parámetro 'wp_db_exclude_table'. Esta falla, que afecta a versiones hasta la 7.11, puede comprometer la seguridad operativa de la instalación.

Contexto técnico

La vulnerabilidad se presenta en el plugin WP Database Backup, específicamente en la gestión del parámetro 'wp_db_exclude_table'. Un atacante autenticado con privilegios de administrador puede manipular este parámetro para ejecutar comandos del sistema operativo, lo que abre un vector de ataque significativo.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de comandos arbitrarios en el servidor, comprometiendo la integridad y disponibilidad del sistema. Esto podría llevar a la pérdida de datos o a la toma de control del servidor, afectando gravemente la operativa del negocio.

Vector de explotación

El ataque se lleva a cabo mediante la modificación del parámetro 'wp_db_exclude_table' en una solicitud autenticada, permitiendo la ejecución de comandos del sistema sin restricciones.

Mitigación recomendada

Actualizar el plugin WP Database Backup a la versión 7.12 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para identificar accesos no autorizados o comportamientos sospechosos. Implementar controles de seguridad adicionales, como firewalls y monitorización de tráfico, para mitigar futuros riesgos.

Señales de detección

Señales a tener en cuenta incluyen registros de acceso inusuales, intentos de ejecución de comandos en el servidor y cambios no autorizados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.12 del plugin WP Database Backup. No se han reportado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

wp-database-backup

WP Database Backup – Unlimited Database & Files Backup by Backup for WP <= 7.3 - Unauthenticated Database Back-Up Exposure

MEDIUM PLUGIN

wp-database-backup

WP Database Backup <= 5.8.3 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

wp-database-backup

WP Database Backup <= 5.9 - Authenticated (Admin+) Stored Cross-Site Scripting

HIGH PLUGIN

wp-database-backup

WP Database Backup <= 5.5 - Unauthenticated Information Disclosure

CRITICAL PLUGIN

wp-database-backup

WP Database Backup < 5.2 - Unauthenticated OS Command Injection

MEDIUM PLUGIN

wp-database-backup

WP Database Backup <= 5.1.1 - Cross-Site Scripting

CRITICAL PLUGIN

wp-database-backup

WP Database Backup <= 5.1.2 - Unauthenticated Settings Update to Remote Code Execution

HIGH PLUGIN

wp-database-backup

WP Database Backup <= 4.3.5 - Cross-Site Request Forgery

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad