CVE-2026-3425: LFI en RTMKit Addons for Elementor
Plataforma
wordpress
Componente
rometheme-for-elementor
Corregido en
2.0.3
La vulnerabilidad CVE-2026-3425 es una falla de Inclusión de Archivos Locales (LFI) presente en el plugin RTMKit Addons for Elementor para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Autor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. Afecta a todas las versiones del plugin hasta la 2.0.2, y se ha solucionado en la versión 2.0.3, publicada el 13 de mayo de 2026.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede lograr la ejecución remota de código en el servidor WordPress. Al incluir archivos PHP arbitrarios, el atacante puede acceder a información sensible, modificar archivos del sistema, instalar malware o incluso tomar el control completo del sitio web. El riesgo se agrava si el atacante puede subir archivos PHP maliciosos al servidor, ya que estos pueden ser incluidos y ejecutados sin restricciones. Esta vulnerabilidad es particularmente peligrosa porque permite eludir los controles de acceso, lo que significa que un atacante con privilegios limitados puede obtener acceso a áreas críticas del sistema.
Contexto de Explotación
La vulnerabilidad CVE-2026-3425 se publicó el 13 de mayo de 2026. La probabilidad de explotación se considera media debido a la necesidad de autenticación (requiere acceso de Autor o superior). No se han reportado públicamente exploits activos o campañas dirigidas a esta vulnerabilidad al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
Mitigación y Workarounds
La mitigación principal para CVE-2026-3425 es actualizar el plugin RTMKit Addons for Elementor a la versión 2.0.3 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes que contengan el parámetro 'path' en la acción AJAX 'get_content'. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura.
Cómo corregirlo
Actualizar a la versión 2.0.3, o una versión parcheada más reciente
Preguntas frecuentes
¿Qué es CVE-2026-3425 — LFI en RTMKit Addons for Elementor?
CVE-2026-3425 es una vulnerabilidad de Inclusión de Archivos Locales (LFI) en el plugin RTMKit Addons for Elementor para WordPress que permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor.
¿Estoy afectado por CVE-2026-3425 en RTMKit Addons for Elementor?
Si está utilizando RTMKit Addons for Elementor en una versión anterior a 2.0.3, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
¿Cómo soluciono CVE-2026-3425 en RTMKit Addons for Elementor?
Actualice el plugin RTMKit Addons for Elementor a la versión 2.0.3 o superior. Considere implementar un WAF como medida temporal si la actualización no es posible de inmediato.
¿Se está explotando activamente CVE-2026-3425?
Actualmente no se han reportado exploits activos o campañas dirigidas a esta vulnerabilidad, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
¿Dónde puedo encontrar el aviso oficial de RTMKit Addons for Elementor para CVE-2026-3425?
Consulte el sitio web oficial de RTMKit Addons for Elementor o el repositorio de WordPress para obtener el aviso oficial y las instrucciones de actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...