NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

CVE-2026-4119: Vulnerabilidad Crítica Detectada (CVSS 9.1)

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

CVE-2026-4119: Vulnerabilidad Crítica Detectada (CVSS 9.1)

⟫ 23/04/2026 ⟫ NVD/NIST
Fuente: NVD NIST

### Una Nueva Vulnerabilidad Crítica en WordPress: CVE-2026-4119

En el panorama actual de la ciberseguridad, las vulnerabilidades en plataformas ampliamente utilizadas como WordPress pueden tener repercusiones significativas tanto para los usuarios individuales como para las empresas que dependen de estos sistemas para gestionar su presencia en línea. Recientemente, se ha identificado una vulnerabilidad crítica en el plugin Create DB Tables para WordPress, clasificada como CVE-2026-4119, que cuenta con una puntuación alarmante de 9.1 sobre 10 en la escala CVSS. Esta situación requiere una atención inmediata, ya que los sistemas que utilizan este plugin corren un riesgo considerable de ser comprometidos.

La vulnerabilidad en cuestión permite un bypass de autorización en todas las versiones del plugin hasta la 1.2.1. El plugin, que se utiliza para crear y eliminar tablas en la base de datos de WordPress, no implementa controles de capacidad a través de la función `current_user_can()` ni verificaciones de nonce mediante `wp_verify_nonce()` o `check_admin_referer()`. Esto significa que cualquier usuario autenticado, incluyendo aquellos con el rol de Suscriptor, puede acceder a los puntos finales designados para crear y eliminar tablas en la base de datos. En términos prácticos, la función `cdbt_delete_db_table()` permite a un atacante autenticado eliminar cualquier tabla de la base de datos, incluyendo tablas críticas del núcleo de WordPress como `wp_users` o `wp_options`. De manera similar, la función `cdbt_create_new_table()` habilita la creación de tablas arbitrarias. Esta falta de controles de seguridad fundamentales significa que, con privilegios de Suscriptor o superiores, un atacante autenticado puede manipular la base de datos a su antojo, potencialmente destruyendo una instalación de WordPress completa.

Desde un punto de vista técnico, esta vulnerabilidad se clasifica como CWE-862, lo que indica una debilidad en el control de acceso. El vector de ataque se define como NETWORK, con una complejidad de ataque baja y sin privilegios requeridos. Además, no se necesita interacción del usuario para llevar a cabo un ataque exitoso, lo que aumenta la gravedad del problema. Las vulnerabilidades que obtienen puntuaciones superiores a 9.0 en la escala CVSS son consideradas críticas, ya que suelen permitir la ejecución remota de código, escalada de privilegios o el compromiso total del sistema.

El impacto de esta vulnerabilidad es amplio y puede afectar a cualquier organización que utilice el plugin afectado. Esto incluye a empresas de todos los tamaños que dependen de WordPress para sus sitios web, así como a desarrolladores que utilizan este plugin en sus proyectos. La posibilidad de que un atacante elimine tablas esenciales puede resultar en la pérdida de datos críticos y la interrupción de servicios, lo que podría traducirse en pérdidas económicas y de reputación significativas.

Históricamente, este tipo de vulnerabilidades no son infrecuentes en el ecosistema de WordPress. En el pasado, ha habido incidentes similares donde plugins populares han sido explotados debido a fallos en la validación de permisos. Esto subraya la importancia de que los desarrolladores y administradores de sistemas mantengan un enfoque proactivo sobre la seguridad, asegurándose de que todos los componentes de su infraestructura estén debidamente actualizados y protegidos.

Para mitigar el riesgo asociado con esta vulnerabilidad, se recomienda encarecidamente a todas las organizaciones que utilicen el plugin Create DB Tables que apliquen de inmediato los parches de seguridad disponibles. Además, es crucial que realicen auditorías de sus sistemas en busca de cualquier indicador de compromiso y monitoricen el tráfico de red para detectar actividades sospechosas relacionadas con esta vulnerabilidad. Los administradores de sistemas pueden consultar la documentación técnica y los parches disponibles en los siguientes enlaces:

- [Línea 370 del código fuente del plugin](https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L370) - [Línea 376 del código fuente del plugin](https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L376) - [Línea 405 del código fuente del plugin](https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L405)

La seguridad en el entorno digital es una responsabilidad compartida, y la rapidez en la respuesta ante vulnerabilidades como CVE-2026-4119 es crucial para proteger tanto la integridad de los sistemas como la confianza de los usuarios.

◢ VULNERABILIDADES ◣

CVE-2026-4119: Vulnerabilidad Crítica Detectada (CVSS 9.1)

⟫ 23/04/2026 ⟫ NVD/NIST
Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-4119, que cuenta con una puntuación CVSS de 9.1/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The Create DB Tables plugin for WordPress is vulnerable to authorization bypass in all versions up to and including 1.2.1. The plugin registers admin_post action hooks for creating tables (admin_post_add_table) and deleting tables (admin_post_delete_db_table) without implementing any capability checks via current_user_can() or nonce verification via wp_verify_nonce()/check_admin_referer(). The admin_post hook only requires the user to be logged in, meaning any authenticated user including Subscribers can access these endpoints. The cdbt_delete_db_table() function takes a user-supplied table name from $_POST['db_table'] and executes a DROP TABLE SQL query, allowing any authenticated attacker to delete any database table including critical WordPress core tables such as wp_users or wp_options. The cdbt_create_new_table() function similarly allows creating arbitrary tables. This makes it possible for authenticated attackers, with Subscriber-level access and above, to create arbitrary database tables and delete any existing database table, potentially destroying the entire WordPress installation. La vulnerabilidad está clasificada como CWE-862, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.1, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L370 https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L376 https://plugins.trac.wordpress.org/browser/create-db-tables/tags/1.2.1/create-db-tables.php#L405 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD