Plataforma
wordpress
Componente
master-addons-pro
Corregido en
2.1.4
La vulnerabilidad CVE-2026-3132 es una ejecución remota de código (RCE) que afecta al plugin Master Addons for Elementor Premium para WordPress. Esta falla permite a atacantes autenticados, incluso con privilegios de Suscriptor, ejecutar código arbitrario en el servidor. La vulnerabilidad se encuentra presente en todas las versiones hasta la 2.1.3 y ha sido solucionada en la versión 2.1.4. Se recomienda actualizar inmediatamente para evitar la explotación.
Un atacante que explote esta vulnerabilidad puede obtener control total sobre el servidor WordPress. Esto implica la capacidad de modificar archivos, instalar malware, robar datos sensibles (como información de usuarios, contraseñas y datos de clientes) e incluso utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La falta de una verificación de capacidades adecuada en la función JLTMAWidgetAdmin::render_preview permite la ejecución de código sin la autorización necesaria. La severidad de esta vulnerabilidad es alta, similar a otras vulnerabilidades de RCE en plugins populares de WordPress, ya que el impacto potencial es significativo.
CVE-2026-3132 fue publicado el 2 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta severidad de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. La vulnerabilidad no se ha incluido en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
Websites using Master Addons for Elementor Premium, particularly those with a large number of users or handling sensitive data, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and security configurations. WordPress sites with weak user access controls, allowing Subscriber-level users broad permissions, are also at increased risk.
• wordpress: Use wp-cli to check plugin versions:
wp plugin list --status=active | grep Master Addons• wordpress: Search plugin files for the vulnerable function JLTMAWidgetAdmin::render_preview using grep:
grep -r 'JLTMA_Widget_Admin::render_preview' /path/to/master-addons-for-elementor-premium• generic web: Monitor access logs for requests to URLs containing JLTMAWidgetAdmin::render_preview.
• generic web: Check response headers for unusual content or code execution indicators.
disclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3132 es actualizar el plugin Master Addons for Elementor Premium a la versión 2.1.4 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar y probar la actualización en un entorno de pruebas. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes a la función JLTMAWidgetAdmin::render_preview desde usuarios con privilegios de Suscriptor o inferiores. Monitorear los logs del servidor en busca de actividad sospechosa relacionada con la ejecución de código también es crucial.
Actualizar a la versión 2.1.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3132 is a Remote Code Execution vulnerability in Master Addons for Elementor Premium WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using Master Addons for Elementor Premium versions 0.0.0 through 2.1.3. Check your plugin version immediately.
Upgrade Master Addons for Elementor Premium to version 2.1.4 or later. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a likely target for malicious actors. Monitor your systems closely.
Refer to the official Master Addons for Elementor Premium website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.