Plataforma
wordpress
Componente
bp-groupblog
Corregido en
1.9.4
La vulnerabilidad de Elevación de Privilegios (Privilege Escalation) en el plugin BuddyPress Groupblog para WordPress permite a administradores de grupos, incluso suscriptores que crean sus propios grupos, asociar su grupo a cualquier blog en la red Multisite. Esto se debe a la falta de validación adecuada de los parámetros groupblog-blogid, default-member y groupblog-silent-add. La versión afectada es la 0.0.0 hasta la 1.9.3, y la solución es actualizar a la versión 1.9.4.
Esta vulnerabilidad permite a un atacante, con privilegios de administrador de grupo, asociar su grupo a cualquier blog dentro de una instalación WordPress Multisite. Esto incluye el blog principal (blog ID 1), lo que podría permitir el acceso no autorizado a información sensible o la modificación de contenido crítico. El parámetro default-member permite asignar cualquier rol de WordPress, incluso roles con privilegios elevados, a miembros del grupo, ampliando aún más el potencial de ataque. Un atacante podría, por ejemplo, tomar control de la administración de un blog asociado, comprometiendo la seguridad de toda la red Multisite.
Esta vulnerabilidad fue publicada el 2026-04-11. No se ha reportado su inclusión en el KEV de CISA, ni existen pruebas de explotación activa en campañas conocidas. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de información de seguridad para detectar posibles actualizaciones.
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin BuddyPress Groupblog a la versión 1.9.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de aplicar la actualización. Como medida temporal, se puede restringir el acceso a la función de configuración de Groupblog a usuarios con roles específicos (administrador de red) a través de un plugin de gestión de roles. Monitorear los logs de WordPress en busca de intentos de manipulación de los parámetros groupblog-blogid, default-member y groupblog-silent-add también puede ayudar a detectar actividad maliciosa.
Actualizar a la versión 1.9.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5144 is a HIGH severity vulnerability affecting the BuddyPress Groupblog plugin for WordPress. It allows unauthorized group admins to escalate privileges and associate groups with any blog on a WordPress Multisite network, potentially leading to unauthorized access.
You are affected if you are using BuddyPress Groupblog versions 0.0.0 through 1.9.3 on a WordPress Multisite installation. Check your plugin version immediately.
Upgrade the BuddyPress Groupblog plugin to version 1.9.4 or later to resolve this vulnerability. If upgrading is not immediately possible, consider temporarily disabling the plugin functionality.
There is currently no public evidence of CVE-2026-5144 being actively exploited, but the ease of exploitation makes it a potential target.
Refer to the official BuddyPress plugin website and WordPress.org plugin repository for the latest updates and security advisories related to CVE-2026-5144.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.