CVE-2026-4609: Unauthorized Access in ProfileGrid WordPress Plugin
Plataforma
wordpress
Componente
profilegrid-user-profiles-groups-and-communities
Corregido en
5.9.8.5
La vulnerabilidad CVE-2026-4609 afecta al plugin ProfileGrid – User Profiles, Groups and Communities para WordPress. Esta falla de seguridad permite el acceso no autorizado, permitiendo a atacantes autenticados agregar usuarios a grupos, incluso aquellos restringidos o de pago, sin la debida autorización. Las versiones afectadas son desde 0.0.0 hasta la 5.9.8.4. La solución es actualizar el plugin a la versión 5.9.8.5.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante con privilegios de Suscriptor o superiores en un sitio WordPress que utiliza ProfileGrid puede explotar esta vulnerabilidad para agregar usuarios a cualquier grupo, sin importar su configuración de privacidad o si son grupos de pago. Esto podría resultar en la inclusión no autorizada de usuarios en comunidades privadas, el acceso a contenido restringido o la evasión de pagos por membresía. El impacto se extiende a la integridad de la gestión de usuarios y la seguridad de las comunidades dentro del sitio WordPress. La falta de una verificación de capacidades en la función pminviteuser es la raíz del problema, permitiendo esta manipulación.
Contexto de Explotación
La vulnerabilidad CVE-2026-4609 fue publicada el 13 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la facilidad de explotación y la amplia base de usuarios de WordPress la convierten en un objetivo potencial. La vulnerabilidad no figura en KEV ni tiene una puntuación EPSS asignada. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
Mitigación y Workarounds
La mitigación principal para CVE-2026-4609 es actualizar el plugin ProfileGrid a la versión 5.9.8.5 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede restringir el acceso a la función de invitación de usuarios a administradores del sitio. No existe una solución de WAF o proxy específica para esta vulnerabilidad, ya que se trata de una falla en la lógica del plugin. Después de la actualización, verifique que los grupos restringidos sigan requiriendo autorización y pago para acceder.
Cómo corregirlo
Actualizar a la versión 5.9.8.5, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-4609 — Unauthorized Access in ProfileGrid WordPress Plugin?
CVE-2026-4609 es una vulnerabilidad de acceso no autorizado en el plugin ProfileGrid para WordPress, que permite a atacantes autenticados agregar usuarios a grupos sin autorización. Afecta a las versiones 0.0.0 hasta 5.9.8.4 y tiene una severidad ALTA (CVSS 7.1).
Am I affected by CVE-2026-4609 in ProfileGrid WordPress Plugin?
Si está utilizando el plugin ProfileGrid para WordPress en una versión entre 0.0.0 y 5.9.8.4, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
How do I fix CVE-2026-4609 in ProfileGrid WordPress Plugin?
La solución es actualizar el plugin ProfileGrid a la versión 5.9.8.5 o superior. Realice una copia de seguridad del sitio antes de actualizar para evitar la pérdida de datos.
Is CVE-2026-4609 being actively exploited?
Actualmente no se han reportado explotaciones activas conocidas de CVE-2026-4609, pero debido a su facilidad de explotación, es importante aplicar la actualización lo antes posible.
Where can I find the official ProfileGrid advisory for CVE-2026-4609?
Consulte el sitio web oficial de ProfileGrid o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y la actualización disponible: [https://profilegrid.com/](https://profilegrid.com/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...