Plataforma
wordpress
Componente
builderall-cheetah-for-wp
Corregido en
3.0.2
La vulnerabilidad CVE-2026-22390 es una falla de inyección de código (Code Injection) en el plugin Builderall Builder for WordPress. Esta falla permite la ejecución remota de código (RCE), lo que podría resultar en el control completo del servidor web. Afecta a las versiones desde n/a hasta la 3.0.1, y se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
Un atacante podría explotar esta vulnerabilidad para inyectar código malicioso en el sitio web WordPress. Este código podría ser utilizado para ejecutar comandos arbitrarios en el servidor, permitiendo el robo de datos sensibles, la modificación del contenido del sitio web, la instalación de malware o incluso el control total del servidor. La severidad crítica de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema. La inyección de código podría ser aprovechada para escalar privilegios y comprometer otros sistemas en la red, ampliando el radio de impacto.
La vulnerabilidad CVE-2026-22390 fue publicada el 5 de marzo de 2026. No se ha confirmado explotación activa en entornos reales, pero la alta severidad (CVSS 9.9) indica una alta probabilidad de que sea explotada en el futuro. Es importante monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de ataque dirigidas a esta vulnerabilidad. No se ha añadido a KEV a la fecha.
Organizations using the Builderall Builder for WordPress plugin, particularly those with older versions (0.0.0 - 3.0.1), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised plugin on one site could potentially impact other sites on the same server.
• wordpress / composer / npm:
grep -r "builderall-cheetah-for-wp" /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/builderall-cheetah-for-wp/ | grep -i 'builderall'disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Builderall Builder for WordPress a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad temporales. Estas podrían incluir la restricción de acceso al plugin, la implementación de reglas de firewall (WAF) para bloquear intentos de inyección de código, o la revisión exhaustiva del código del plugin en busca de posibles vulnerabilidades. Es crucial monitorear los logs del servidor en busca de actividad sospechosa relacionada con la inyección de código. Después de la actualización, confirme la corrección revisando los logs y realizando pruebas de seguridad básicas.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22390 is a critical Remote Code Execution vulnerability in the Builderall Builder for WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Builderall Builder for WordPress versions 0.0.0 through 3.0.1. Check your plugin version immediately.
Upgrade to the latest patched version of the Builderall Builder for WordPress plugin as soon as it becomes available. Monitor Builderall's website for updates.
As of the disclosure date, there is no confirmed active exploitation, but the CRITICAL severity suggests a high likelihood if a PoC is released.
Check the official Builderall website and security advisory pages for updates and information regarding CVE-2026-22390.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.