Plataforma
wordpress
Componente
advanced-members
Corregido en
1.2.6
1.2.6
La vulnerabilidad CVE-2026-3243 afecta al plugin Advanced Members for ACF para WordPress, permitiendo a atacantes autenticados el borrado de archivos arbitrarios en el servidor. Esta vulnerabilidad de Path Traversal se debe a una validación insuficiente de la ruta del archivo en la función create_crop. Afecta a todas las versiones hasta la 1.2.5, y se solucionó parcialmente en la versión 1.2.5.
Un atacante con privilegios de Suscriptor o superiores puede explotar esta vulnerabilidad para eliminar archivos críticos del servidor, como wp-config.php. La eliminación de este archivo, en particular, puede llevar a la ejecución remota de código, comprometiendo completamente la instalación de WordPress. La capacidad de borrar archivos arbitrarios también puede permitir la manipulación de la configuración del servidor, la suplantación de identidad y el acceso no autorizado a datos sensibles. La falta de una validación adecuada de la ruta del archivo facilita la manipulación de la ruta para acceder a ubicaciones fuera del directorio previsto.
La vulnerabilidad fue publicada el 7 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal y la disponibilidad de privilegios de Suscriptor la hacen susceptible a ataques. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias. No se ha añadido a KEV al momento de la redacción.
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
disclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
La solución definitiva es actualizar el plugin Advanced Members for ACF a la versión 1.2.6 o superior, que incluye la corrección de la vulnerabilidad. Como medida temporal, se recomienda restringir los permisos de escritura en el directorio raíz de WordPress y sus subdirectorios. Además, implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo (ej., ../). Monitorear los registros del servidor en busca de intentos de acceso o modificación de archivos no autorizados.
Actualizar a la versión 1.2.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3243 is a Path Traversal vulnerability in the Advanced Members for ACF WordPress plugin, allowing authenticated attackers to delete files.
You are affected if you are using Advanced Members for ACF version 1.2.5 or earlier. Upgrade to 1.2.6 to mitigate the risk.
Upgrade the Advanced Members for ACF plugin to version 1.2.6 or later. Consider restricting file permissions as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.