NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

CVE-2026-6235: Vulnerabilidad Crítica Detectada (CVSS 9.8)

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

CVE-2026-6235: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 23/04/2026 ⟫ NVD/NIST
Fuente: NVD NIST

### Nueva Vulnerabilidad Crítica en el Plugin Sendmachine para WordPress: CVE-2026-6235

En el vasto panorama de la ciberseguridad, la identificación de vulnerabilidades críticas es un evento que requiere la atención inmediata de todas las organizaciones que dependen de software específico para la gestión de sus operaciones digitales. Recientemente, ha sido detectada una vulnerabilidad altamente significativa en el plugin Sendmachine para WordPress, identificada como CVE-2026-6235. Con una alarmante puntuación de 9.8 en la escala del Common Vulnerability Scoring System (CVSS), esta vulnerabilidad pone en riesgo la seguridad de millones de sitios web que utilizan este plugin para la gestión de correos electrónicos, lo que podría tener repercusiones graves para empresas y usuarios finales por igual.

La vulnerabilidad en cuestión se manifiesta a través de un bypass de autorización en la función 'manage_admin_requests', presente en todas las versiones del plugin hasta la 1.0.20 inclusive. Este defecto se origina en la incapacidad del plugin para verificar adecuadamente si un usuario tiene los permisos necesarios para llevar a cabo determinadas acciones. Como resultado, atacantes no autenticados podrían aprovechar esta debilidad para sobrescribir la configuración SMTP del plugin. Esta situación es particularmente crítica, ya que permitiría a un atacante interceptar todos los correos electrónicos salientes desde el sitio web afectado, incluidos aquellos relacionados con el restablecimiento de contraseñas, lo que incrementa el riesgo de acceso no autorizado a cuentas de usuario y, posiblemente, a información sensible.

Desde un punto de vista técnico, esta vulnerabilidad se clasifica como CWE-862, lo que especifica que se trata de un problema de autorización inadecuada. Los atacantes pueden ejecutar su ataque a través de la red, con una complejidad de acceso baja y sin necesidad de privilegios especiales ni interacción del usuario. Esto significa que cualquier persona con conocimientos básicos de ciberseguridad podría explotarla, haciendo que su impacto sea aún más amplio y preocupante.

El hecho de que esta vulnerabilidad haya obtenido una puntuación de 9.8 en la escala CVSS la sitúa en la categoría de CRÍTICA, lo que indica que representa uno de los mayores riesgos potenciales en el ámbito de la seguridad informática. Las vulnerabilidades de esta magnitud típicamente permiten la ejecución remota de código, la escalada de privilegios y, en última instancia, el compromiso total del sistema afectado. Por lo tanto, es imperativo que las organizaciones que utilicen el plugin Sendmachine actúen de forma proactiva.

Para los administradores de sistemas y responsables de la seguridad informática, es crucial que consulten las referencias técnicas proporcionadas para obtener información detallada sobre el problema y aplicar los parches de seguridad necesarios. Estos parches son esenciales para mitigar la vulnerabilidad, y se pueden encontrar en los siguientes enlaces:

- [Código fuente de Sendmachine: sendmachine_email_manager.php](https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/includes/sendmachine_email_manager.php#L39) - [Código fuente de Sendmachine: sendmachine_wp_admin.php (parte 1)](https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/sendmachine_wp_admin.php#L174) - [Código fuente de Sendmachine: sendmachine_wp_admin.php (parte 2)](https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/sendmachine_wp_admin.php#L183)

Dada la gravedad de esta vulnerabilidad, se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad de manera inmediata. Además, deben llevar a cabo una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso (IoCs) y establecer una monitorización constante del tráfico de red para detectar cualquier actividad sospechosa que pueda estar relacionada con la explotación de esta vulnerabilidad.

En un contexto más amplio, esta situación no es un caso aislado. A lo largo de los años, hemos observado un aumento en el número de vulnerabilidades críticas en plugins y temas de WordPress, lo que subraya la importancia de mantener actualizados todos los componentes de software utilizados en la creación y gestión de sitios web. La comunidad de WordPress y los desarrolladores de plugins deben ser conscientes de estas vulnerabilidades y trabajar en conjunto para mejorar la seguridad de la plataforma. En consecuencia, la educación y la concienciación sobre ciberseguridad son más cruciales que nunca para proteger tanto a los desarrolladores como a los usuarios finales.

◢ VULNERABILIDADES ◣

CVE-2026-6235: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 23/04/2026 ⟫ NVD/NIST
Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-6235, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The Sendmachine for WordPress plugin for WordPress is vulnerable to authorization bypass via the 'manage_admin_requests' function in all versions up to, and including, 1.0.20. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite the plugin's SMTP configuration, which can be leveraged to intercept all outbound emails from the site (including password reset emails). La vulnerabilidad está clasificada como CWE-862, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/includes/sendmachine_email_manager.php#L39 https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/sendmachine_wp_admin.php#L174 https://plugins.trac.wordpress.org/browser/sendmachine/tags/1.0.20/sendmachine_wp_admin.php#L183 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD