CVE-2026-6510: Privilege Escalation in InfusedWoo Pro
Plataforma
wordpress
Componente
infusedwooPRO
Corregido en
5.1.3
La vulnerabilidad CVE-2026-6510 afecta al plugin InfusedWoo Pro para WordPress, permitiendo una elevación de privilegios significativa. Esta falla se debe a la ausencia de validación adecuada en el manejador AJAX iwarsaverecipe(), lo que permite a atacantes no autenticados crear recetas de automatización maliciosas. Las versiones afectadas son desde la 0.0.0 hasta la 5.1.2, y la solución es actualizar a la versión 5.1.3.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante puede explotar esta vulnerabilidad para obtener acceso completo a las cuentas de usuario de WordPress, incluyendo cuentas de administrador. Al crear una receta de automatización que combine un disparador HTTP POST con una acción de inicio de sesión automático, un atacante puede engañar a un usuario para que visite una URL maliciosa. Esta acción permite al atacante robar las cookies de autenticación del usuario objetivo, otorgándole efectivamente acceso a la cuenta sin necesidad de credenciales. El impacto es crítico, ya que permite la completa toma de control de la cuenta, incluyendo la modificación de contenido, la instalación de malware y el acceso a información confidencial. Esta vulnerabilidad es similar en concepto a otras que explotan la falta de validación de entrada en APIs AJAX, pudiendo llevar a la comprometer la seguridad de la aplicación WordPress.
Contexto de Explotación
La vulnerabilidad CVE-2026-6510 fue publicada el 14 de mayo de 2026. La puntuación CVSS de 9.8 indica una alta probabilidad de explotación. No se han reportado campañas de explotación activas a la fecha, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar el plugin InfusedWoo Pro a la versión 5.1.3 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas al manejador iwarsaverecipe(). Además, revise cuidadosamente las recetas de automatización existentes en busca de configuraciones potencialmente maliciosas. Después de la actualización, verifique que la funcionalidad de las recetas de automatización funcione correctamente y que no haya nuevas vulnerabilidades introducidas.
Cómo corregirlo
Actualizar a la versión 5.1.3, o una versión parcheada más reciente
Preguntas frecuentes
¿Qué es CVE-2026-6510 — Elevación de privilegios en InfusedWoo Pro?
CVE-2026-6510 es una vulnerabilidad de elevación de privilegios en el plugin InfusedWoo Pro para WordPress que permite a atacantes no autenticados obtener acceso a cuentas de usuario, incluyendo administradores, mediante la creación de recetas de automatización maliciosas.
¿Estoy afectado por CVE-2026-6510 en InfusedWoo Pro?
Si está utilizando InfusedWoo Pro en versiones anteriores a la 5.1.3, es vulnerable a esta vulnerabilidad. Verifique la versión instalada en su sitio web de WordPress.
¿Cómo soluciono CVE-2026-6510 en InfusedWoo Pro?
La solución es actualizar el plugin InfusedWoo Pro a la versión 5.1.3 o superior. Realice una copia de seguridad antes de la actualización.
¿Se está explotando activamente CVE-2026-6510?
Aunque no se han reportado campañas de explotación activas, la vulnerabilidad es crítica y fácilmente explotable, lo que la convierte en un objetivo potencial.
¿Dónde puedo encontrar el aviso oficial de InfusedWoo Pro para CVE-2026-6510?
Consulte el sitio web oficial de InfusedWoo Pro o el repositorio de WordPress para obtener el aviso de seguridad y las instrucciones de actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...