Plataforma
wordpress
Componente
mw-wp-form
Corregido en
5.1.2
5.1.2
La vulnerabilidad CVE-2026-5436 es un fallo de Acceso Arbitrario de Archivos que afecta al plugin MW WP Form para WordPress, en versiones hasta la 5.1.1. Esta debilidad permite a un atacante leer o mover archivos en el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad se debe a una validación insuficiente del parámetro $name en la función generateuserfile_dirpath(). Una actualización a la versión 5.1.2 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles en el servidor web, incluyendo archivos de configuración, código fuente, o incluso bases de datos. La falta de validación adecuada del parámetro $name permite a un atacante controlar la ruta del archivo, lo que lleva a la posibilidad de leer o mover archivos fuera del directorio de subida previsto. Esto podría resultar en la exposición de información confidencial, la modificación de archivos críticos del sistema, o incluso la ejecución remota de código si se accede a archivos con permisos de escritura. La vulnerabilidad se aprovecha a través del parámetro POST mwfuploadfiles[], lo que la hace accesible a través de peticiones HTTP.
La vulnerabilidad fue publicada el 8 de abril de 2026. No se ha reportado explotación activa a la fecha, pero la naturaleza de la vulnerabilidad (acceso arbitrario de archivos) la convierte en un objetivo atractivo para atacantes. Es importante aplicar las mitigaciones lo antes posible para reducir el riesgo de exposición. El CVE no ha sido añadido al KEV de CISA.
WordPress websites utilizing the MW WP Form plugin, particularly those running versions 5.1.1 or earlier, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites that rely on MW WP Form for critical data collection or form submissions are also at higher risk.
• wordpress / plugin:
wp plugin list | grep mwf• wordpress / plugin: Check plugin version in WordPress admin dashboard.
• wordpress / plugin: Search plugin files (e.g., wp-content/plugins/mw-wp-form/) for instances of generateuserfiledirpath() and pathjoin() to identify potential vulnerable code.
• generic web: Monitor web server access logs for requests containing suspicious characters or patterns in the mwfuploadfiles[] parameter.
disclosure
Estado del Exploit
EPSS
0.24% (47% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin MW WP Form a la versión 5.1.2 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de escritura en el directorio de subidas del plugin. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear peticiones HTTP que contengan parámetros sospechosos en el parámetro mwfuploadfiles[]. Monitorear los logs del servidor en busca de accesos inusuales a archivos en el directorio de subidas también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 5.1.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5436 is a vulnerability in MW WP Form allowing attackers to potentially read or move files due to insufficient input validation. It affects versions up to 5.1.1 and has a CVSS score of 8.1 (HIGH).
You are affected if your WordPress site uses MW WP Form version 5.1.1 or earlier. Check your plugin version immediately to determine your risk level.
Upgrade MW WP Form to version 5.1.2 or later to resolve the vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
While no public exploits are currently known, the vulnerability's nature suggests a relatively low barrier to exploitation, so active exploitation is possible.
Refer to the MW WP Form official website and WordPress plugin repository for the latest security advisories and updates related to CVE-2026-5436.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.