Plataforma
wordpress
Componente
lazy-blocks
Corregido en
4.2.1
El plugin Custom Block Builder – Lazy Blocks para WordPress presenta una vulnerabilidad de Ejecución Remota de Código (RCE). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, ejecutar código malicioso en el servidor. La vulnerabilidad afecta a todas las versiones desde 0.0.0 hasta la 4.2.0, y ha sido solucionada en la versión 4.2.1.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el servidor WordPress. Esto implica la capacidad de modificar archivos, instalar malware, robar datos sensibles (como credenciales de usuarios, información de clientes, o datos de bases de datos) e incluso tomar el sitio web completamente fuera de servicio. La ejecución de código arbitrario permite una amplia gama de ataques, desde la inyección de código malicioso hasta la exfiltración de datos confidenciales. La autenticación como Contribuidor o superior reduce la barrera de entrada para los atacantes, ampliando el potencial de impacto.
Esta vulnerabilidad fue publicada el 11 de febrero de 2026. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
WordPress websites utilizing the Custom Block Builder – Lazy Blocks plugin, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'LazyBlocks_Blocks' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'Custom Block Builder – Lazy Blocks'• wordpress / composer / npm:
wp plugin list --status=active | grep 'Custom Block Builder – Lazy Blocks' && wp plugin version 'Custom Block Builder – Lazy Blocks'disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Custom Block Builder – Lazy Blocks a la versión 4.2.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso a las funciones vulnerables del plugin mediante reglas de firewall de aplicaciones web (WAF) o proxies inversos, bloqueando solicitudes sospechosas. Verifique después de la actualización que el plugin se ejecuta correctamente y que no se han introducido nuevos problemas.
Actualizar a la versión 4.2.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1560 is a Remote Code Execution vulnerability affecting the Custom Block Builder – Lazy Blocks WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using Custom Block Builder – Lazy Blocks versions 0.0.0 through 4.2.0. Upgrade immediately.
Upgrade the plugin to version 4.2.1 or later. As a temporary measure, implement WAF rules and code review.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.