**Nueva vulnerabilidad crítica en WooCommerce: CVE-2026-4001**

En el vertiginoso mundo de la ciberseguridad, la identificación y mitigación de vulnerabilidades es crucial para proteger tanto a empresas como a usuarios individuales. Recientemente, ha emergido una vulnerabilidad crítica, conocida como CVE-2026-4001, que afecta a un componente ampliamente utilizado en la plataforma de comercio electrónico WordPress: el plugin WooCommerce Custom Product Addons Pro. Con una puntuación de 9.8 sobre 10 en el sistema de puntuación de vulnerabilidades común (CVSS), esta falla representa un riesgo severo que requiere atención inmediata de los equipos de seguridad.

La vulnerabilidad se encuentra en todas las versiones del plugin hasta, y incluyendo, la 5.4.1. En términos técnicos, se trata de una vulnerabilidad de ejecución remota de código (RCE) que se manifiesta a través de la función `process_custom_formula()` en el archivo `includes/process/price.php`. El problema radica en la insuficiente sanitización y validación de los valores introducidos por los usuarios antes de que sean pasados a la función `eval()` de PHP. Aunque el método `sanitize_values()` elimina etiquetas HTML, no logra escapar las comillas simples ni prevenir la inyección de código PHP. Esto permite que atacantes no autenticados ejecuten código arbitrario en el servidor al enviar un valor manipulado a un campo de texto configurado con una fórmula de precios personalizada (pricingType: "custom" con {this.value}).

Desde un punto de vista técnico, esta vulnerabilidad se clasifica bajo la categoría CWE-95, que se refiere a la ejecución de código con privilegios no autorizados. Esta clasificación señala la existencia de una debilidad de seguridad específica que puede ser explotada por atacantes para comprometer el sistema.

El análisis del vector de ataque indica que se trata de una amenaza que puede ser explotada a través de la red, con una complejidad de ataque baja. No se requieren privilegios especiales para llevar a cabo el ataque, y no es necesaria la interacción del usuario. Esto significa que incluso un atacante con poco conocimiento técnico podría potencialmente aprovechar esta vulnerabilidad para comprometer un sistema vulnerable.

La peligrosidad de esta vulnerabilidad es evidente en su alta puntuación CVSS, que la clasifica como crítica. En la escala de CVSS v3.1, las vulnerabilidades que superan la puntuación de 9.0 suelen permitir la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema, lo que las convierte en una prioridad máxima para cualquier equipo de seguridad.

Para los administradores de sistemas que gestionan sitios web basados en WordPress y utilizan este plugin, es imperativo actuar de manera proactiva. Se recomienda encarecidamente aplicar de inmediato los parches de seguridad disponibles, así como revisar los sistemas en busca de indicadores de compromiso. Además, es crucial monitorizar el tráfico de red en busca de actividades sospechosas que puedan estar relacionadas con esta vulnerabilidad. Para más información técnica y detalles sobre los parches disponibles, los administradores pueden consultar los siguientes enlaces: [Acowebs](https://acowebs.com/woo-custom-product-addons/) y [Wordfence](https://www.wordfence.com/threat-intel/vulnerabilities/id/70a2b6ff-defc-4722-9af9-3cae94e98632?source=cve).

La aparición de CVE-2026-4001 no es un caso aislado en el contexto de la ciberseguridad. Las vulnerabilidades en plugins de WordPress han sido un problema recurrente, reflejando la necesidad de una gestión de seguridad robusta y continua en entornos de desarrollo y operación. La historia reciente está llena de incidentes donde fallas similares han llevado a brechas de seguridad significativas, afectando a miles de usuarios y empresas. Por ello, es fundamental que las organizaciones no solo implementen soluciones inmediatas, sino que también adopten una postura preventiva frente a futuras amenazas en un entorno digital cada vez más complejo y hostil.