Plataforma
wordpress
Componente
siteorigin-panels
Corregido en
2.33.6
La vulnerabilidad CVE-2026-2448 es una inclusión de archivos local (LFI) que afecta al plugin Page Builder by SiteOrigin para WordPress. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. Las versiones afectadas son desde la 0.0.0 hasta la 2.33.5; la solución recomendada es actualizar a la versión 2.34.0.
Un atacante que explote esta vulnerabilidad puede obtener acceso no autorizado al servidor web. Al poder incluir y ejecutar código PHP arbitrario, el atacante puede leer archivos confidenciales, modificar la configuración del sitio, o incluso tomar el control total del servidor. La capacidad de ejecutar código arbitrario permite la ejecución de comandos del sistema operativo, lo que amplía significativamente el impacto potencial. Esta vulnerabilidad es similar en concepto a otras LFI que permiten la ejecución remota de código si se combinan con la capacidad de subir archivos.
Esta vulnerabilidad fue publicada el 3 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA, ni se conocen públicamente exploits activos. Sin embargo, la naturaleza de la vulnerabilidad (LFI) la convierte en un objetivo atractivo para los atacantes, especialmente aquellos con acceso a cuentas de usuario con privilegios limitados en sitios WordPress.
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Page Builder by SiteOrigin a la versión 2.34.0 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear intentos de inclusión de archivos maliciosos. Específicamente, se deben bloquear peticiones que contengan patrones sospechosos en la ruta del archivo. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura.
Actualizar a la versión 2.34.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2448 is a Local File Inclusion vulnerability affecting the Page Builder by SiteOrigin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Page Builder by SiteOrigin versions 0.0.0 through 2.33.5. Upgrade to 2.34.0 or later to resolve the issue.
Upgrade the Page Builder by SiteOrigin plugin to version 2.34.0 or later. Consider restricting file upload permissions as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor security advisories.
Refer to the official Page Builder by SiteOrigin plugin documentation and WordPress security announcements for the latest advisory information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.