Plataforma
wordpress
Componente
busiprof
Corregido en
2.5.3
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Busiprof, un plugin para WordPress. Esta falla permite a un atacante subir un Web Shell al servidor web, comprometiendo la seguridad de la aplicación y potencialmente el servidor subyacente. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.5.2, y se recomienda actualizar a la versión 2.5.3 para solucionar el problema.
La explotación exitosa de esta vulnerabilidad CSRF permite a un atacante, sin necesidad de autenticación, subir un Web Shell al servidor web donde está instalado Busiprof. Un Web Shell es un script malicioso que permite al atacante ejecutar comandos arbitrarios en el servidor, obteniendo control total sobre la aplicación y potencialmente el sistema operativo subyacente. Esto puede resultar en la exfiltración de datos sensibles, la modificación de la base de datos, la instalación de malware adicional o el uso del servidor para lanzar ataques a otros sistemas. La severidad CRÍTICA de esta vulnerabilidad se debe a la facilidad de explotación y el alto impacto potencial.
Esta vulnerabilidad ha sido publicada el 8 de abril de 2026. No se han reportado campañas de explotación activas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Web Shell permite una escalada de privilegios significativa, similar a las consecuencias de otras vulnerabilidades de subida de archivos maliciosos.
Estado del Exploit
EPSS
0.02% (5% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Busiprof a la versión 2.5.3 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de políticas de Content Security Policy (CSP) para restringir las fuentes de contenido que puede cargar el navegador. Además, se recomienda revisar los logs del servidor en busca de actividad sospechosa relacionada con la subida de archivos.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39619 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Busiprof versions 0.0.0–2.5.2. It allows attackers to upload a web shell, potentially leading to remote code execution.
Yes, if you are running Busiprof versions 0.0.0 through 2.5.2, you are affected by this vulnerability. Immediately assess your systems and apply the necessary updates.
The recommended fix is to upgrade Busiprof to version 2.5.3 or later. If upgrading is not possible, implement temporary workarounds like input validation and CSRF protection.
While no widespread exploitation has been publicly reported, the high CVSS score indicates a high probability of exploitation. Proactive remediation is strongly advised.
Refer to the Busiprof official website or security advisory channels for the most up-to-date information and guidance regarding CVE-2026-39619.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.