Plataforma
wordpress
Componente
advanced-woo-labels
Corregido en
2.37
La vulnerabilidad CVE-2026-1929 es una ejecución remota de código (RCE) que afecta al plugin Advanced Woo Labels para WordPress. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, ejecutar código PHP arbitrario en el servidor. La vulnerabilidad se encuentra presente en todas las versiones hasta la 2.36, y ha sido solucionada en la versión 2.37. Se recomienda actualizar el plugin a la última versión disponible.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el servidor WordPress. Esto implica la capacidad de modificar archivos, instalar malware, robar datos sensibles (como información de clientes y datos de comercio electrónico), y comprometer otros sistemas en la misma red. La ejecución de código arbitrario permite una amplia gama de ataques, desde la modificación de la apariencia del sitio web hasta la exfiltración de datos confidenciales. La vulnerabilidad se aprovecha a través del parámetro 'callback' en el manejador AJAX getselectoption_values(), donde la falta de una lista blanca de callbacks permitidos y una verificación de capacidades permite la ejecución de código malicioso.
El CVE-2026-1929 fue publicado el 25 de febrero de 2026. No se ha reportado explotación activa a la fecha. La vulnerabilidad presenta una probabilidad de explotación moderada debido a la necesidad de autenticación (Contribuidor o superior) y la complejidad de la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the Advanced Woo Labels plugin, particularly those with shared hosting environments or legacy configurations, are at significant risk. Sites with weak password policies or inadequate user access controls are especially vulnerable, as the vulnerability requires only Contributor-level access to be exploited.
• wordpress / composer / npm:
grep -r 'call_user_func_array' /var/www/html/wp-content/plugins/advanced-woo-labels/• wordpress / composer / npm:
wp plugin list | grep 'Advanced Woo Labels'• wordpress / composer / npm:
curl -s http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=get_select_option_values&callback=phpinfo() | grep PHP Versiondisclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Advanced Woo Labels a la versión 2.37 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir restringir el acceso al panel de administración de WordPress, implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas, y revisar los permisos de usuario para asegurar que solo los usuarios con privilegios administrativos puedan acceder a funciones críticas. Además, monitorear los logs del servidor en busca de actividad sospechosa relacionada con el plugin puede ayudar a detectar y responder a posibles ataques.
Actualizar a la versión 2.37, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1929 is a Remote Code Execution vulnerability in the Advanced Woo Labels plugin for WordPress, allowing attackers with Contributor access to execute arbitrary code.
You are affected if you are using Advanced Woo Labels versions 0.0.0 through 2.36. Upgrade to version 2.37 to mitigate the risk.
Upgrade the Advanced Woo Labels plugin to version 2.37 or later. If upgrading is not possible, restrict access to the vulnerable AJAX endpoint.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation suggests a potential for rapid exploitation.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.