Plataforma
wordpress
Componente
widget-wrangler
Corregido en
2.4.0
Se ha descubierto una vulnerabilidad de Ejecución Remota de Código (RCE) en el widget Widget Wrangler, permitiendo la inyección de código. Esta falla afecta a las versiones desde 0.0.0 hasta la 2.3.9 del componente. La actualización a la versión 2.4.0 soluciona esta vulnerabilidad, mitigando el riesgo de ejecución de código malicioso en sistemas vulnerables.
Un atacante puede explotar esta vulnerabilidad para inyectar y ejecutar código arbitrario en un servidor WordPress que utilice Widget Wrangler. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, modificación de contenido web o la instalación de malware. La inyección de código permite a los atacantes ejecutar comandos del sistema operativo con los privilegios del usuario bajo el cual se ejecuta el proceso de WordPress, ampliando significativamente el alcance del ataque. La severidad crítica de esta vulnerabilidad la coloca en una categoría de riesgo alto, similar a otras vulnerabilidades de RCE que han afectado a plataformas web populares.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. Sin embargo, dada la severidad de la vulnerabilidad (CVSS 9.1), es probable que se convierta en un objetivo para atacantes, especialmente si se desarrollan PoCs accesibles.
WordPress websites utilizing the Widget Wrangler plugin, particularly those running older, unpatched versions (0.0.0–2.3.9), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "widget-wrangler" /var/www/html/wp-content/plugins/
wp plugin list | grep widget-wrangler• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/widget-wrangler/• wordpress / composer / npm:
wp plugin update widget-wrangler --version=2.4.0disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Widget Wrangler a la versión 2.4.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la restricción de acceso al widget a través de un firewall de aplicaciones web (WAF) o la configuración de reglas de proxy para filtrar solicitudes maliciosas. Además, se recomienda revisar y endurecer la configuración del servidor WordPress para limitar el impacto potencial de una explotación exitosa. Después de la actualización, confirme la corrección revisando los registros del servidor en busca de intentos de inyección de código.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25447 is a critical RCE vulnerability in the Widget Wrangler WordPress plugin, allowing attackers to execute arbitrary code on vulnerable systems.
You are affected if you are using Widget Wrangler versions 0.0.0 through 2.3.9. Immediately upgrade to 2.4.0 or later.
Upgrade the Widget Wrangler plugin to version 2.4.0 or later. If immediate upgrade is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the CRITICAL severity and public disclosure suggest a high likelihood of exploitation.
Refer to the Widget Wrangler project's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.