Plataforma
wordpress
Componente
keep-backup-daily
Corregido en
2.1.2
La vulnerabilidad CVE-2026-3339 afecta al plugin Keep Backup Daily para WordPress, permitiendo un ataque de Path Traversal. Esta falla permite a atacantes autenticados, con privilegios de administrador o superiores, listar el contenido de directorios arbitrarios fuera del directorio de subidas previsto. Las versiones afectadas son desde 0.0.0 hasta la 2.1.1. La solución es actualizar el plugin a la versión 2.1.3.
Un atacante con acceso de administrador a un sitio WordPress que utiliza el plugin Keep Backup Daily puede explotar esta vulnerabilidad para leer archivos confidenciales fuera del directorio de subidas. Esto podría incluir archivos de configuración, archivos de registro o incluso código fuente del sitio web. La exposición de estos archivos podría revelar información sensible, como credenciales de bases de datos, claves de API o información personal de los usuarios. Aunque el impacto se considera bajo según el CVSS, la posibilidad de acceder a información confidencial hace que esta vulnerabilidad sea preocupante, especialmente en entornos de producción.
Esta vulnerabilidad fue publicada el 2026-03-20. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a escaneos automatizados. No se ha añadido a KEV ni se ha publicado un EPSS score. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3339 es actualizar el plugin Keep Backup Daily a la versión 2.1.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de path traversal en el parámetro kbdpath de la acción AJAX kbdopenuploaddir. Verifique que el directorio de subidas tenga los permisos correctos para evitar accesos no autorizados. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se puede acceder a archivos fuera del directorio de subidas.
Actualizar a la versión 2.1.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3339 is a Path Traversal vulnerability in the Keep Backup Daily WordPress plugin, allowing authenticated admins to access arbitrary server files. It affects versions 0.0.0–2.1.1 and has a CVSS score of 2.7.
You are affected if your WordPress site uses the Keep Backup Daily plugin and is running version 2.1.1 or earlier. Check your plugin version using wp plugin list.
Upgrade the Keep Backup Daily plugin to version 2.1.3 or later. Consider implementing a WAF rule to block path traversal attempts as a temporary workaround.
Currently, there is no evidence of active exploitation or publicly available Proof-of-Concept code for CVE-2026-3339.
Refer to the WordPress security advisory and the Keep Backup Daily plugin's official website for updates and information regarding CVE-2026-3339.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.