Plataforma
wordpress
Componente
perfmatters
Corregido en
2.5.10
2.6.0
La vulnerabilidad CVE-2026-4351 es un fallo de recorrido de directorio (Path Traversal) descubierto en el plugin Perfmatters para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Suscriptor o superiores, sobrescribir archivos arbitrarios en el servidor. Afecta a todas las versiones del plugin hasta la 2.5.9, y se ha solucionado en la versión 2.6.0.
Un atacante que explote esta vulnerabilidad puede sobrescribir archivos críticos del sistema, incluyendo archivos de configuración, archivos del núcleo de WordPress o incluso archivos del servidor web. Esto podría resultar en la toma de control completa del servidor, la ejecución de código malicioso, el robo de datos sensibles o la denegación de servicio. La capacidad de sobrescribir archivos arbitrarios representa un riesgo significativo para la integridad y confidencialidad de los datos almacenados en el servidor WordPress. La falta de validación en el manejo de las acciones 'activate' y 'deactivate' permite la manipulación de las rutas de archivo, facilitando la explotación.
Esta vulnerabilidad fue publicada el 2026-04-10. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza del fallo de recorrido de directorio lo hace susceptible a explotación. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the Perfmatters plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable. Sites with outdated plugin versions or those lacking robust security practices are also at increased risk.
• wordpress / composer / npm:
grep -r "Snippet::update\(" /var/www/html/wp-content/plugins/perfmatters/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pmcs_action_handler&snippets%5B%5D=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=all | grep perfmattersdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-4351 es actualizar el plugin Perfmatters a la versión 2.6.0 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los archivos del plugin y monitorear los logs del servidor en busca de actividad sospechosa. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres de recorrido de directorio (../) en los parámetros GET relacionados con las acciones del plugin puede ofrecer una capa adicional de protección. Verifique que el plugin no tenga permisos de escritura innecesarios en directorios sensibles.
Actualizar a la versión 2.6.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4351 is a Path Traversal vulnerability affecting the Perfmatters WordPress plugin, allowing attackers to overwrite files. It impacts versions up to 2.5.9 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the Perfmatters plugin in WordPress versions 2.5.9 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Perfmatters plugin to version 2.6.0 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block suspicious requests.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly due to the vulnerability's severity.
Refer to the official Perfmatters plugin website and WordPress.org plugin repository for the latest security advisories and updates related to CVE-2026-4351.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.