Vulnerabilidad en Document Embedder – Embed PDFs, Word, Excel y Other Files (CVE-2026-1389)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2026
Última modificación:
08/04/2026
Descripción
El plugin Document Embedder – Embed PDFs, Word, Excel, and Other Files para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 2.0.4, inclusive. Esto se debe a que el plugin no verifica que un usuario tenga permiso para acceder al recurso solicitado en las acciones AJAX 'bplde_save_document_library', 'bplde_get_single' y 'bplde_delete_document_library'. Esto hace posible que atacantes autenticados, con acceso de nivel Autor y superior, lean, modifiquen y eliminen entradas de la librería de documentos creadas por otros usuarios, incluidos los administradores, a través del parámetro 'id'.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/document-emberdder/tags/2.0.3/includes/DocumentLibrary/Init-DocumentLibrary.php#L103
- https://plugins.trac.wordpress.org/browser/document-emberdder/tags/2.0.3/includes/DocumentLibrary/Init-DocumentLibrary.php#L159
- https://plugins.trac.wordpress.org/browser/document-emberdder/tags/2.0.3/includes/DocumentLibrary/Init-DocumentLibrary.php#L66
- https://plugins.trac.wordpress.org/browser/document-emberdder/tags/2.0.5/includes/DocumentLibrary/Init-DocumentLibrary.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/59d14f6c-6286-454c-8629-96a0c2de943c?source=cve