CVE-2026-6512: Authorization Bypass in InfusedWoo Pro
Plataforma
wordpress
Componente
infusedwooPRO
Corregido en
5.1.3
La vulnerabilidad CVE-2026-6512 afecta al plugin InfusedWoo Pro para WordPress, permitiendo un bypass de autorización. Esto significa que un atacante no autenticado puede realizar acciones administrativas sin la debida verificación, como la eliminación permanente de contenido crítico. Las versiones afectadas son desde 0.0.0 hasta la 5.1.2. Se ha lanzado una actualización a la versión 5.1.3 para corregir esta falla.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
El impacto de esta vulnerabilidad es significativo, ya que un atacante puede causar daños irreparables a un sitio web de WordPress que utilice el plugin InfusedWoo Pro. La capacidad de eliminar permanentemente publicaciones, páginas, productos y pedidos puede resultar en la pérdida de datos críticos para el negocio. Además, la posibilidad de borrar todos los comentarios en cualquier publicación y modificar el estado de las mismas, puede afectar la reputación y la funcionalidad del sitio. Un atacante podría, por ejemplo, eliminar todos los productos de una tienda online, causando una interrupción total del servicio y pérdidas económicas.
Contexto de Explotación
La vulnerabilidad CVE-2026-6512 fue publicada el 14 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo potencial. La falta de autenticación necesaria para realizar acciones administrativas aumenta significativamente el riesgo de explotación. Se recomienda monitorear los registros del servidor y del plugin en busca de actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-6512 es actualizar el plugin InfusedWoo Pro a la versión 5.1.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, se recomienda restringir el acceso al panel de administración de WordPress y revisar cuidadosamente los permisos de los usuarios. No existen reglas WAF o configuraciones específicas que puedan mitigar completamente esta vulnerabilidad sin la actualización del plugin.
Cómo corregirlo
Actualizar a la versión 5.1.3, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-6512 — Authorization Bypass in InfusedWoo Pro?
CVE-2026-6512 es una vulnerabilidad crítica de bypass de autorización en el plugin InfusedWoo Pro para WordPress que permite a atacantes no autenticados eliminar contenido y modificar estados, afectando versiones 0.0.0–5.1.2.
Am I affected by CVE-2026-6512 in InfusedWoo Pro?
Si está utilizando InfusedWoo Pro en una versión anterior a 5.1.3, es vulnerable a esta vulnerabilidad. Verifique la versión del plugin en su panel de administración de WordPress.
How do I fix CVE-2026-6512 in InfusedWoo Pro?
Actualice el plugin InfusedWoo Pro a la versión 5.1.3 o superior. Realice una copia de seguridad antes de actualizar para evitar la pérdida de datos.
Is CVE-2026-6512 being actively exploited?
Aunque no se han reportado explotaciones activas conocidas, la naturaleza crítica de la vulnerabilidad la convierte en un objetivo potencial. Se recomienda monitorear los registros del servidor.
Where can I find the official InfusedWoo Pro advisory for CVE-2026-6512?
Consulte el sitio web oficial de InfusedWoo Pro o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización correspondiente.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...