Plataforma
wordpress
Componente
backwpup
Corregido en
5.6.7
5.6.7
La vulnerabilidad CVE-2026-6227 afecta al plugin BackWPup para WordPress, permitiendo una Inclusión de Archivos Locales (LFI) a través del parámetro block_name en el endpoint REST /wp-json/backwpup/v1/getblock. Esta falla de seguridad permite a atacantes autenticados con privilegios de administrador acceder a archivos sensibles, como wp-config.php, o incluso ejecutar código remoto en ciertas configuraciones. La vulnerabilidad afecta a todas las versiones de BackWPup hasta la 5.6.6, siendo corregida en la versión 5.6.7.
Un atacante con acceso de administrador a un sitio WordPress que utiliza BackWPup vulnerable puede explotar esta vulnerabilidad para leer archivos arbitrarios en el servidor. La inclusión de wp-config.php permitiría el acceso a la base de datos, claves de API y otras configuraciones sensibles, comprometiendo completamente el sitio. En configuraciones donde el servidor web permite la ejecución de PHP desde ubicaciones accesibles a través del navegador, un atacante podría incluir un archivo PHP malicioso, logrando la ejecución remota de código. Esto podría resultar en la toma de control del servidor, la inyección de malware o el robo de datos confidenciales. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la seguridad del sitio web.
Esta vulnerabilidad fue publicada el 13 de abril de 2026. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (LFI) la hace susceptible a explotación. Se recomienda monitorear activamente los sitios web que utilizan BackWPup para detectar posibles intentos de explotación.
WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.
• wordpress / composer / npm:
grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php• generic web:
curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denieddisclosure
Estado del Exploit
EPSS
0.41% (61% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin BackWPup a la versión 5.6.7 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al endpoint /wp-json/backwpup/v1/getblock a través de un firewall de aplicaciones web (WAF) o reglas de proxy, bloqueando solicitudes con secuencias de caracteres de path traversal (e.g., ....//). Además, se recomienda revisar los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura. Monitorear los logs del servidor en busca de intentos de acceso inusuales al endpoint mencionado también puede ayudar a detectar posibles ataques.
Actualizar a la versión 5.6.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6227 is a Local File Inclusion vulnerability in the BackWPup plugin for WordPress, allowing authenticated administrators to include arbitrary PHP files.
You are affected if you are using BackWPup version 5.6.6 or earlier. Upgrade to 5.6.7 to mitigate the risk.
Upgrade the BackWPup plugin to version 5.6.7 or later. Consider restricting access to the vulnerable endpoint as a temporary workaround.
There are currently no confirmed reports of active exploitation, but public POCs are likely to emerge.
Refer to the BackWPup plugin website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.