Plataforma
wordpress
Componente
lastudio-element-kit
Corregido en
1.5.7
La vulnerabilidad CVE-2026-0920 afecta al plugin LA-Studio Element Kit para WordPress, permitiendo una elevación de privilegios. Esta falla permite a atacantes no autenticados crear cuentas de usuario con roles administrativos, comprometiendo la seguridad del sitio web. Las versiones afectadas son desde 0.0.0 hasta la 1.5.6.3. Se recomienda actualizar a la versión 1.6.0 para solucionar el problema.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener acceso de administrador completo a un sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, robar datos sensibles de usuarios, y comprometer la integridad del sitio web. La falta de restricciones en la creación de usuarios permite a los atacantes eludir los controles de acceso estándar, lo que facilita la toma de control del sitio. La vulnerabilidad se asemeja a otros casos de escalada de privilegios en plugins de WordPress donde la validación de roles de usuario es insuficiente.
El CVE-2026-0920 fue publicado el 22 de enero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad, pero su alta puntuación CVSS (9.8) indica un riesgo significativo. Es probable que esta vulnerabilidad sea objeto de escaneo automatizado y posible explotación en el futuro. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa relacionada con la creación de usuarios.
WordPress websites utilizing the LA-Studio Element Kit for Elementor plugin, particularly those running versions 0.0.0 through 1.5.6.3, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'ajax_register_handle' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'• wordpress / composer / npm:
wp plugin update la-studio-element-kit-for-elementordisclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin LA-Studio Element Kit a la versión 1.6.0 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes POST a la ruta 'ajaxregisterhandle' que contengan el parámetro 'lakit_bkrole'. Verifique después de la actualización que la funcionalidad de registro de usuarios se comporta como se espera y que no se pueden crear usuarios con roles administrativos no autorizados.
Actualizar a la versión 1.6.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0920 is a critical vulnerability in the LA-Studio Element Kit for Elementor WordPress plugin allowing unauthenticated attackers to gain administrator access.
You are affected if you are using LA-Studio Element Kit for Elementor versions 0.0.0 through 1.5.6.3. Upgrade immediately.
Upgrade the LA-Studio Element Kit for Elementor plugin to version 1.6.0 or later. Disable the plugin as a temporary workaround if upgrading is not possible.
While active exploitation is not yet confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor your systems closely.
Refer to the LA-Studio Element Kit website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.