Fuente base de datos: Wordfence Intelligence

Perfmatters <= 2.5.9.1 - Authenticated (Subscriber+) Arbitrary File Deletion via 'delete' Parameter

PLUGIN HIGH CVE-2026-4350

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad grave en el plugin Perfmatters, que permite la eliminación arbitraria de archivos a través del parámetro 'delete' para usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene un CVSS de 8.1, lo que indica un riesgo significativo para la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin Perfmatters en versiones hasta la 2.5.9.1. Permite a los usuarios autenticados, con permisos de suscriptor o superiores, eliminar archivos arbitrarios del servidor mediante el uso incorrecto del parámetro 'delete'. Esto expone el sistema a ataques que pueden comprometer la integridad de los datos y la configuración del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es alto, ya que puede permitir a un atacante eliminar archivos críticos del servidor, lo que podría resultar en la pérdida de datos importantes, interrupción del servicio y comprometer la seguridad general del sitio web. Esto puede afectar la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas que incluyen el parámetro 'delete' para eliminar archivos específicos del servidor. Esto puede realizarse a través de herramientas automatizadas o scripts diseñados para interactuar con la interfaz del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Perfmatters a la versión 2.6.0 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas solo a los roles necesarios. Implementar medidas de seguridad adicionales, como la monitorización de archivos, puede ayudar a detectar actividades sospechosas.

Señales de detección

Señales de posible explotación incluyen registros de acceso que muestran intentos de eliminación de archivos inusuales, así como cambios inesperados en la estructura de archivos del servidor. También se deben revisar los logs de actividad de los usuarios para detectar comportamientos anómalos.

Alcance afectado

Las versiones del plugin Perfmatters hasta la 2.5.9.1 están afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y proceder a la actualización inmediata si es necesario.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

perfmatters

Perfmatters <= 2.1.6 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

perfmatters

Perfmatters < 2.2.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting

MEDIUM PLUGIN

perfmatters

Perfmatters <= 2.1.6 - Cross-Site Request Forgery

MEDIUM PLUGIN

perfmatters

Perfmatters <= 2.1.6 - Missing Authorization

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto