Vulnerabilidad en plugin MailerLite de WooCommerce para WordPress (CVE-2026-1000)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2026
Última modificación:
15/04/2026
Descripción
El plugin de integración MailerLite - WooCommerce para WordPress es vulnerable a la modificación y eliminación no autorizadas de datos en todas las versiones hasta la 3.1.3, inclusive. Esto se debe a la falta de comprobaciones de capacidad en la función resetIntegration(). Esto hace posible que atacantes autenticados, con acceso de nivel de Suscriptor y superior, restablezcan la configuración de integración del plugin, eliminen todas las opciones del plugin y eliminen las tablas de la base de datos del plugin (woo_mailerlite_carts y woo_mailerlite_jobs), lo que resulta en una pérdida completa de los datos del plugin, incluyendo información de carritos abandonados de clientes e historial de trabajos de sincronización.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/woo-mailerlite/tags/3.1.3/admin/controllers/WooMailerLiteAdminSettingsController.php#L231
- https://plugins.trac.wordpress.org/browser/woo-mailerlite/tags/3.1.3/includes/WooMailerLite.php#L127
- https://plugins.trac.wordpress.org/browser/woo-mailerlite/tags/3.1.3/includes/migrations/WooMailerLiteMigration.php#L33
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3415073%40woo-mailerlite%2Ftrunk&old=3399626%40woo-mailerlite%2Ftrunk&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e20deec4-f40c-4bd3-91f7-6a9d643a5520?source=cve