Vulnerabilidad en Advanced Woo Labels (CVE-2026-1929)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
25/02/2026
Última modificación:
15/04/2026
Descripción
El plugin Advanced Woo Labels para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta e incluyendo la 2.37. Esto se debe al uso de `call_user_func_array()` con una devolución de llamada y parámetros controlados por el usuario en el gestor AJAX `get_select_option_values()` sin una lista blanca de devoluciones de llamada permitidas o una verificación de capacidad. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, ejecuten funciones PHP arbitrarias y comandos del sistema operativo en el servidor a través del parámetro 'callback'.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/advanced-woo-labels/tags/2.34/includes/admin/class-awl-admin-ajax.php#L136
- https://plugins.trac.wordpress.org/browser/advanced-woo-labels/tags/2.34/includes/admin/class-awl-admin-ajax.php#L146
- https://plugins.trac.wordpress.org/browser/advanced-woo-labels/tags/2.37/includes/admin/class-awl-admin-ajax.php#L136
- https://plugins.trac.wordpress.org/browser/advanced-woo-labels/trunk/includes/admin/class-awl-admin-ajax.php#L146
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bbae9c33-becb-4c9d-917f-0d8fe8312d0c?source=cve