Escanear gratis
CRITICALCVE-2026-39619CVSS 9.6

Tema WordPress Busiprof <= 2.5.2 - Vulnerabilidad de Cross Site Request Forgery (CSRF) que permite la subida de archivos arbitrarios

Plataforma

wordpress

Componente

busiprof

Corregido en

2.5.3

AI Confidence: highNVDEPSS 0.0%Revisado: may 2026
Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Busiprof, un plugin para WordPress. Esta falla permite a un atacante subir un Web Shell al servidor web, comprometiendo la seguridad de la aplicación y potencialmente el servidor subyacente. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.5.2, y se recomienda actualizar a la versión 2.5.3 para solucionar el problema.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad CSRF permite a un atacante, sin necesidad de autenticación, subir un Web Shell al servidor web donde está instalado Busiprof. Un Web Shell es un script malicioso que permite al atacante ejecutar comandos arbitrarios en el servidor, obteniendo control total sobre la aplicación y potencialmente el sistema operativo subyacente. Esto puede resultar en la exfiltración de datos sensibles, la modificación de la base de datos, la instalación de malware adicional o el uso del servidor para lanzar ataques a otros sistemas. La severidad CRÍTICA de esta vulnerabilidad se debe a la facilidad de explotación y el alto impacto potencial.

Contexto de Explotación

Esta vulnerabilidad ha sido publicada el 8 de abril de 2026. No se han reportado campañas de explotación activas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Web Shell permite una escalada de privilegios significativa, similar a las consecuencias de otras vulnerabilidades de subida de archivos maliciosos.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.02% (5% percentil)

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H9.6CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebusiprof
Proveedorwordfence
Rango afectadoCorregido en
0.0.0 – 2.5.22.5.3

Información del paquete

Valoración del plugin
4.9
Sitio web

Clasificación de Debilidad (CWE)

CWE-352

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para esta vulnerabilidad es actualizar Busiprof a la versión 2.5.3 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de políticas de Content Security Policy (CSP) para restringir las fuentes de contenido que puede cargar el navegador. Además, se recomienda revisar los logs del servidor en busca de actividad sospechosa relacionada con la subida de archivos.

Cómo corregirlo

No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2026-39619 — CSRF in Busiprof?

CVE-2026-39619 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Busiprof versions 0.0.0–2.5.2. It allows attackers to upload a web shell, potentially leading to remote code execution.

Am I affected by CVE-2026-39619 in Busiprof?

Yes, if you are running Busiprof versions 0.0.0 through 2.5.2, you are affected by this vulnerability. Immediately assess your systems and apply the necessary updates.

How do I fix CVE-2026-39619 in Busiprof?

The recommended fix is to upgrade Busiprof to version 2.5.3 or later. If upgrading is not possible, implement temporary workarounds like input validation and CSRF protection.

Is CVE-2026-39619 being actively exploited?

While no widespread exploitation has been publicly reported, the high CVSS score indicates a high probability of exploitation. Proactive remediation is strongly advised.

Where can I find the official Busiprof advisory for CVE-2026-39619?

Refer to the Busiprof official website or security advisory channels for the most up-to-date information and guidance regarding CVE-2026-39619.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs