Vulnerabilidad en Taskbuilder (CVE-2026-1640)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/02/2026
Última modificación:
18/02/2026
Descripción
El plugin Taskbuilder – WordPress Project Management & Task Management para WordPress es vulnerable a una omisión de autorización en todas las versiones hasta la 5.0.2, inclusive. Esto se debe a la falta de comprobaciones de autorización en las funciones de envío de comentarios de proyectos y tareas (acciones AJAX: wppm_submit_proj_comment y wppm_submit_task_comment). Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, creen comentarios en cualquier proyecto o tarea (incluidos proyectos privados que no pueden ver o a los que no están asignados), e inyecten HTML y CSS arbitrarios a través del parámetro comment_body insuficientemente saneado.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/taskbuilder/tags/5.0.2/includes/admin/projects/open_project/wppm_submit_project_comment.php#L6
- https://plugins.trac.wordpress.org/browser/taskbuilder/tags/5.0.2/includes/admin/tasks/open_task/wppm_submit_task_comment.php#L6
- https://www.wordfence.com/threat-intel/vulnerabilities/id/66095908-875f-486d-ae77-6015671872de?source=cve