Plataforma
wordpress
Componente
totalpoll-lite
Corregido en
4.12.1
La vulnerabilidad CVE-2026-27044 es una falla de Inclusión de Código Remoto (RCE) presente en Total Poll Lite, un plugin para WordPress. Esta falla permite a un atacante ejecutar código malicioso en el servidor, comprometiendo la confidencialidad y la integridad de los datos. Afecta a las versiones desde 0.0.0 hasta la 4.12.0. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
Esta vulnerabilidad de RCE es extremadamente crítica debido a su potencial para comprometer completamente un sitio web WordPress. Un atacante puede explotar esta falla para ejecutar código arbitrario en el servidor, lo que les permite tomar control total del sitio, robar datos sensibles (como información de usuarios, contraseñas y datos de encuestas), inyectar malware o utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La Inclusión de Código Remoto es una técnica de ataque bien conocida y, dada la alta puntuación CVSS, es probable que esta vulnerabilidad sea objeto de escaneo y explotación activa.
La vulnerabilidad CVE-2026-27044 fue publicada el 25 de marzo de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero dada su gravedad y la naturaleza de la Inclusión de Código Remoto, es probable que sea objeto de escaneo por parte de atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. La puntuación CVSS de 9.9 indica una alta probabilidad de explotación si la vulnerabilidad es descubierta por un atacante.
WordPress websites utilizing the Total Poll Lite plugin, particularly those running versions 0.0.0 through 4.12.0, are at significant risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. Sites with weak file access controls or inadequate security monitoring are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep total-poll-lite• wordpress / composer / npm:
grep -r 'include($_REQUEST' /var/www/html/wp-content/plugins/total-poll-lite/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/total-poll-lite/ | grep 'Remote Code Inclusion'disclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Total Poll Lite a la última versión disponible, que debería incluir una corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda tomar medidas de mitigación temporales. Esto puede incluir restringir el acceso al plugin, implementar reglas de firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad, y revisar cuidadosamente los archivos del plugin en busca de código malicioso. Monitorear los logs del servidor en busca de patrones inusuales de inclusión de archivos también puede ayudar a detectar un ataque en curso. Después de la actualización, confirme la corrección revisando los archivos del plugin y verificando que la inclusión de código remoto esté debidamente controlada.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27044 is a critical Remote Code Execution vulnerability in the Total Poll Lite WordPress plugin, allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if your WordPress site uses Total Poll Lite versions 0.0.0 through 4.12.0. Upgrade immediately when a patch is available.
Upgrade to the latest version of Total Poll Lite as soon as a patch is released by the vendor. Temporarily disable the plugin until the update is applied.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest it is highly likely to be targeted.
Check the Total Poll Lite website and WordPress plugin repository for official advisories and updates related to CVE-2026-27044.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.