Vulnerabilidad en wpForo Forum (CVE-2026-0910)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
11/02/2026
Última modificación:
11/02/2026
Descripción
El plugin wpForo Forum para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 2.4.13, inclusive, a través de la deserialización de entrada no confiable en la función 'wpforo_display_array_data'. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, inyecten un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que otro plugin o tema que contenga una cadena POP esté instalado en el sitio. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código, dependiendo de la cadena POP presente.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wpforo/tags/2.4.13/admin/tools-tabs/debug.php#L198
- https://plugins.trac.wordpress.org/changeset?old=3416158&old_path=wpforo/tags/2.4.13/admin/tools-tabs/debug.php&new=3446993&new_path=wpforo/tags/2.4.14/admin/tools-tabs/debug.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3c833223-c8c9-413f-9d72-6fb13101459b?source=cve