Plataforma
wordpress
Componente
magic-login-mail
Corregido en
2.06
La vulnerabilidad CVE-2026-2144 representa una escalada de privilegios en el plugin Magic Login Mail or QR Code para WordPress. Esta falla permite a atacantes no autenticados solicitar enlaces de inicio de sesión para cualquier usuario, incluso administradores, aprovechando una condición de carrera al almacenar imágenes de códigos QR en un directorio público. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta 2.05, y se ha solucionado en la versión 2.06.
Un atacante puede explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario dentro de un sitio WordPress. Al desencadenar una solicitud de enlace de inicio de sesión y explotar la condición de carrera, el atacante puede potencialmente acceder a cuentas de administrador, comprometiendo la seguridad del sitio web. El riesgo se agrava porque el archivo de imagen del código QR se almacena en el directorio de subidas público de WordPress, lo que facilita su acceso y manipulación. Esta vulnerabilidad es similar en concepto a otras condiciones de carrera que han afectado a plugins de WordPress en el pasado, donde la falta de sincronización entre el almacenamiento de archivos y la eliminación crea una ventana de oportunidad para la explotación.
La vulnerabilidad CVE-2026-2144 fue publicada el 14 de febrero de 2026. No se ha añadido a la lista KEV de CISA al momento de esta redacción. No se han reportado públicamente campañas de explotación activas, pero la disponibilidad de una condición de carrera en un directorio público la convierte en un objetivo potencial. Se recomienda monitorear la actividad en los sitios web que utilizan este plugin.
WordPress websites utilizing the Magic Login Mail or QR Code plugin, particularly those with publicly accessible uploads directories or lacking robust access controls, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "Magic Login Mail or QR Code"• wordpress / composer / npm:
find /var/www/wordpress/wp-content/uploads/ -name "QR_Code.png"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep "Magic Login Mail or QR Code"disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-2144 es actualizar el plugin Magic Login Mail or QR Code a la versión 2.06 o superior. Si la actualización causa problemas de compatibilidad, considere deshabilitar temporalmente el plugin. Como medida adicional, revise los directorios de subidas de WordPress en busca de archivos sospechosos con el nombre 'QR_Code.png'. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes a archivos con nombres predecibles en el directorio de subidas también puede ayudar a mitigar el riesgo. Monitorear los registros del servidor en busca de intentos de acceso no autorizados a archivos en el directorio de subidas es crucial.
Actualizar a la versión 2.06, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2144 is a HIGH severity vulnerability in the Magic Login Mail or QR Code WordPress plugin allowing attackers to potentially escalate privileges through a race condition related to QR code image handling.
If you are using the Magic Login Mail or QR Code plugin in WordPress versions 0.0.0 through 2.05, you are potentially affected by this vulnerability.
Upgrade the Magic Login Mail or QR Code plugin to version 2.06 or later to address the vulnerability. Consider temporary mitigation steps like restricting uploads directory access if immediate upgrade is not possible.
As of now, there is no confirmed evidence of active exploitation campaigns targeting CVE-2026-2144, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and release notes regarding CVE-2026-2144.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.