Vulnerabilidad en plugin Performance Monitor para WordPress (CVE-2026-1648)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
21/03/2026
Última modificación:
23/03/2026
Descripción
El plugin Performance Monitor para WordPress es vulnerable a la Falsificación de Petición del Lado del Servidor en todas las versiones hasta la 1.0.6, inclusive. Esto se debe a la validación insuficiente del parámetro 'url' en el endpoint de la API REST '/wp-json/performance-monitor/v1/curl_data'. Esto hace posible que atacantes no autenticados realicen peticiones web a ubicaciones arbitrarias, incluyendo servicios internos, a través del protocolo Gopher y otros protocolos peligrosos. Esto puede ser explotado para lograr la Ejecución Remota de Código encadenando con servicios como Redis.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/assetnote/blind-ssrf-chains
- https://plugins.trac.wordpress.org/browser/performance-monitor/tags/1.0.6/admin/class-curl.php#L50
- https://plugins.trac.wordpress.org/browser/performance-monitor/tags/1.0.6/includes/class-rest-callback.php#L168
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c8f42f17-bce2-421e-9031-bfa0f8c26b2a?source=cve
- https://github.com/assetnote/blind-ssrf-chains