**Una nueva vulnerabilidad crítica amenaza a los sistemas WordPress: CVE-2026-7567**

La ciberseguridad es un campo en constante evolución, donde las amenazas pueden surgir en cualquier momento y afectar tanto a usuarios individuales como a organizaciones de todos los tamaños. En este contexto, se ha detectado una nueva vulnerabilidad crítica en el popular plugin Temporary Login para WordPress, identificada como CVE-2026-7567. Con una puntuación de 9.8 sobre 10 en la escala CVSS (Common Vulnerability Scoring System), esta vulnerabilidad requiere atención inmediata por parte de los equipos de seguridad, ya que presenta un riesgo significativo para los sistemas que la utilizan.

La vulnerabilidad se manifiesta en las versiones del plugin hasta la 1.0.0 y se origina en un defecto de validación de entrada dentro de la función maybe_login_temporary_user(). En esta función, la verificación del parámetro 'temp-login-token', que se recibe a través de la solicitud GET, no se realiza correctamente. Si este parámetro se envía como un array en lugar de una cadena escalar, la comprobación de PHP mediante la función empty() se ignora. Como resultado, la función sanitize_key() devuelve una cadena vacía, que a su vez se pasa como el valor meta a la función get_users(). WordPress, al recibir un valor vacío, ignora este meta_value y devuelve todos los usuarios que coincidan con el meta_key '_temporary_login_token'. Esto permite que atacantes no autenticados puedan autenticarse como cualquier usuario de inicio de sesión temporal activo, simplemente enviando una única solicitud GET manipulada.

Esta vulnerabilidad se clasifica bajo el identificador CWE-288, que describe una debilidad de seguridad relacionada con el bypass de autenticación. En cuanto al vector de ataque, se clasifica como NETWORK, con una complejidad de ataque baja, lo que significa que un atacante no necesita contar con privilegios especiales ni interacción del usuario para explotar esta vulnerabilidad.

La gravedad de esta vulnerabilidad es particularmente alarmante. Con una puntuación CVSS de 9.8, se considera crítica en la escala de vulnerabilidades, donde cualquier puntuación superior a 9.0 implica un riesgo extremadamente alto. Las vulnerabilidades de este tipo suelen permitir la ejecución remota de código, la escalada de privilegios o el compromiso total de los sistemas afectados, lo que podría resultar en una pérdida devastadora de datos y recursos para las organizaciones.

Para aquellos administradores de sistemas que necesiten más información técnica sobre esta vulnerabilidad y cómo abordar el problema, se pueden consultar las siguientes referencias del código fuente del plugin:

- https://plugins.trac.wordpress.org/browser/temporary-login/tags/1.0.0/core/admin.php#L135 - https://plugins.trac.wordpress.org/browser/temporary-login/tags/1.0.0/core/admin.php#L179 - https://plugins.trac.wordpress.org/browser/temporary-login/tags/1.0.0/core/options.php#L157

Dada la seriedad de esta vulnerabilidad, se recomienda encarecidamente a todas las organizaciones que utilicen el plugin Temporary Login que apliquen de inmediato los parches de seguridad disponibles. Además, es fundamental que revisen sus sistemas en busca de cualquier indicador de compromiso y que monitoricen el tráfico de red para detectar actividad sospechosa relacionada con esta vulnerabilidad. La proactividad en la gestión de la ciberseguridad es esencial para proteger tanto a los usuarios individuales como a las organizaciones en su conjunto, evitando así que se conviertan en víctimas de ataques maliciosos que podrían tener consecuencias devastadoras.