Advanced Members for ACF <= 1.2.5 - Eliminación Arbitraria de Archivos (Path Traversal) Autenticada (Suscriptor+)
Plataforma
wordpress
Componente
advanced-members
Corregido en
1.2.6
1.2.6
La vulnerabilidad CVE-2026-3243 afecta al plugin Advanced Members for ACF para WordPress, permitiendo a atacantes autenticados el borrado de archivos arbitrarios en el servidor. Esta vulnerabilidad de Path Traversal se debe a una validación insuficiente de la ruta del archivo en la función create_crop. Afecta a todas las versiones hasta la 1.2.5, y se solucionó parcialmente en la versión 1.2.5.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante con privilegios de Suscriptor o superiores puede explotar esta vulnerabilidad para eliminar archivos críticos del servidor, como wp-config.php. La eliminación de este archivo, en particular, puede llevar a la ejecución remota de código, comprometiendo completamente la instalación de WordPress. La capacidad de borrar archivos arbitrarios también puede permitir la manipulación de la configuración del servidor, la suplantación de identidad y el acceso no autorizado a datos sensibles. La falta de una validación adecuada de la ruta del archivo facilita la manipulación de la ruta para acceder a ubicaciones fuera del directorio previsto.
Contexto de Explotación
La vulnerabilidad fue publicada el 7 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal y la disponibilidad de privilegios de Suscriptor la hacen susceptible a ataques. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias. No se ha añadido a KEV al momento de la redacción.
Quién Está en Riesgotraduciendo…
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
Pasos de Deteccióntraduciendo…
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Información del paquete
- Instalaciones activas
- 30Nicho
- Valoración del plugin
- 5.0
- Requiere WordPress
- 5.8+
- Compatible hasta
- 6.9.4
- Requiere PHP
- 7.1+
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La solución definitiva es actualizar el plugin Advanced Members for ACF a la versión 1.2.6 o superior, que incluye la corrección de la vulnerabilidad. Como medida temporal, se recomienda restringir los permisos de escritura en el directorio raíz de WordPress y sus subdirectorios. Además, implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo (ej., ../). Monitorear los registros del servidor en busca de intentos de acceso o modificación de archivos no autorizados.
Cómo corregirlo
Actualizar a la versión 1.2.6, o una versión parcheada más reciente
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-3243 — Path Traversal in Advanced Members for ACF?
CVE-2026-3243 is a Path Traversal vulnerability in the Advanced Members for ACF WordPress plugin, allowing authenticated attackers to delete files.
Am I affected by CVE-2026-3243 in Advanced Members for ACF?
You are affected if you are using Advanced Members for ACF version 1.2.5 or earlier. Upgrade to 1.2.6 to mitigate the risk.
How do I fix CVE-2026-3243 in Advanced Members for ACF?
Upgrade the Advanced Members for ACF plugin to version 1.2.6 or later. Consider restricting file permissions as a temporary workaround.
Is CVE-2026-3243 being actively exploited?
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Where can I find the official Advanced Members for ACF advisory for CVE-2026-3243?
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.