CVE-2026-3772
Descripción de la Vulnerabilidad
La vulnerabilidad CVE-2026-3772 se relaciona con un ataque de Cross-Site Request Forgery (CSRF) en el plugin WP Editor para WordPress. Esta falla permite a atacantes no autenticados sobrescribir archivos PHP de plugins y temas arbitrarios mediante solicitudes falsas. La causa principal es la falta de verificación de nonce (número unico) en las funciones add_plugins_page y add_themes_page, lo que permite a un atacante engañar a un administrador de sitio para realizar acciones no intencionalmente.Sistemas Afectados
El plugin WP Editor para WordPress es el principal sistema afectado. Todos los versiones del plugin hasta y incluyendo la 1.2.9.2 están expuestas a esta vulnerabilidad. Esto incluye tanto plugins como temas que dependen de este componente, lo cual amplía el área de impacto.Impacto y Explotabilidad
La puntuación CVSS de 8.8 (HIGH) indica un nivel crítico de riesgo. Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar código malicioso en un sitio web, lo que podría llevar a la sobreescritura de archivos sensibles, acceso no autorizado o incluso compromiso total del sistema. La explotación requiere que el atacante logre engañar al administrador de hacer clic en un enlace malicioso, lo cual puede ser sencillo si se ignoran las medidas de seguridad básicas.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.