Vulnerabilidad en plugin Speedup Optimization para WordPress (CVE-2026-4127)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/03/2026
Última modificación:
08/04/2026
Descripción
El plugin Speedup Optimization para WordPress es vulnerable a la falta de autorización en todas las versiones hasta la 1.5.9 inclusive. La función speedup01_ajax_enabled(), que maneja la acción AJAX wp_ajax_speedup01_enabled, no realiza ninguna comprobación de capacidad a través de current_user_can() y también carece de verificación de nonce. Esto contrasta con otros manejadores AJAX en el mismo plugin (por ejemplo, speedup01_ajax_install_iox y speedup01_ajax_delete_cache_file) que comprueban correctamente las capacidades install_plugins y manage_options respectivamente. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, habiliten o deshabiliten el módulo de optimización del sitio enviando una solicitud POST a admin-ajax.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/speedup-optimization/tags/1.5.9/speedup-optimization.php#L172
- https://plugins.trac.wordpress.org/browser/speedup-optimization/tags/1.5.9/speedup-optimization.php#L178
- https://plugins.trac.wordpress.org/browser/speedup-optimization/trunk/speedup-optimization.php#L172
- https://plugins.trac.wordpress.org/browser/speedup-optimization/trunk/speedup-optimization.php#L178
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3f37c650-af0d-4474-9c1b-7f8d361b4d81?source=cve