Vulnerabilidad en plugin Task Manager para WordPress (CVE-2026-2351)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/03/2026
Última modificación:
23/03/2026
Descripción
El plugin Task Manager para WordPress es vulnerable a la lectura arbitraria de archivos en todas las versiones hasta la 3.0.2, inclusive, a través de la función callback_get_text_from_url(). Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, leer el contenido de archivos arbitrarios en el servidor, que pueden contener información sensible.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/task-manager/tags/3.0.2/module/import/action/class-import-action.php#L203
- https://plugins.trac.wordpress.org/browser/task-manager/trunk/module/import/action/class-import-action.php#L203
- https://wordpress.org/plugins/task-manager/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/cd959968-d3f0-4546-8fc6-eb451b417f0d?source=cve