Plataforma
wordpress
Componente
church-admin
Corregido en
5.0.29
La vulnerabilidad CVE-2026-0682 afecta al plugin Church Admin para WordPress, permitiendo una vulnerabilidad de Falsificación de Solicitud del Lado del Servidor (SSRF). Esta falla se debe a una validación insuficiente de las URLs proporcionadas por el usuario en el parámetro 'audio_url'. Atacantes autenticados con privilegios de administrador pueden aprovechar esta vulnerabilidad para realizar solicitudes web a ubicaciones arbitrarias, potencialmente comprometiendo la seguridad de servicios internos. La vulnerabilidad afecta a versiones desde 0.0.0 hasta 5.0.28, y se ha solucionado en la versión 5.0.29.
Un atacante con acceso de administrador al sitio WordPress que utiliza el plugin Church Admin puede explotar esta vulnerabilidad de SSRF para realizar solicitudes a cualquier URL que el servidor pueda alcanzar. Esto podría incluir la lectura de archivos internos sensibles, la interacción con otros servicios internos sin la debida autenticación, o incluso la ejecución de acciones en esos servicios. El impacto potencial varía según la configuración de la red interna y los servicios expuestos. En un escenario de ataque exitoso, un atacante podría obtener acceso a información confidencial, modificar datos internos, o incluso utilizar el servidor como punto de partida para ataques a otros sistemas dentro de la red. La naturaleza autenticada de la vulnerabilidad limita el alcance, requiriendo privilegios de administrador en el sitio WordPress.
La vulnerabilidad fue publicada el 17 de enero de 2026. Actualmente no se dispone de información sobre su inclusión en el KEV de CISA ni sobre la existencia de exploits públicos. Sin embargo, dada la naturaleza de SSRF, es posible que esta vulnerabilidad sea explotada en el futuro, especialmente si se encuentra un exploit fácil de usar. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-0682 es actualizar el plugin Church Admin a la versión 5.0.29 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o el tema de WordPress, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes con URLs sospechosas o no autorizadas. Además, revise la configuración del servidor web para asegurar que solo se permitan las conexiones necesarias y que se implementen políticas de seguridad robustas. Después de la actualización, confirme que la vulnerabilidad ha sido corregida verificando que el parámetro 'audio_url' ahora valida correctamente las URLs de entrada.
Actualizar a la versión 5.0.29, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0682 is a Server-Side Request Forgery vulnerability in the Church Admin WordPress plugin, allowing authenticated administrators to make arbitrary web requests. It affects versions 0.0.0–5.0.28 and has a CVSS score of 2.2 (LOW).
You are affected if your WordPress site uses the Church Admin plugin and is running version 5.0.28 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Church Admin plugin to version 5.0.29 or later. If immediate upgrade is not possible, implement a WAF rule to block suspicious outbound requests.
Currently, there is no public evidence of active exploitation of CVE-2026-0682, but it's crucial to apply the patch to mitigate potential risks.
Refer to the official WordPress security advisory and the Church Admin plugin's website for the latest information and updates regarding CVE-2026-0682.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.