Vulnerabilidad en Seraphinite Accelerator (CVE-2026-3058)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
04/03/2026
Última modificación:
31/03/2026
Descripción
El plugin Seraphinite Accelerator para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta la 2.28.14, inclusive, a través de la acción AJAX 'seraph_accel_api' con 'fn=GetData'. Esto se debe a que la función 'OnAdminApi_GetData()' no realiza ninguna comprobación de capacidad. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, recuperar datos operativos sensibles, incluyendo el estado de la caché, información de tareas programadas y el estado de la base de datos externa.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:s-sols:seraphinite_accelerator:*:*:*:*:*:wordpress:*:* | 2.28.15 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/seraphinite-accelerator/trunk/Cmn/Plugin.php#L598
- https://plugins.trac.wordpress.org/browser/seraphinite-accelerator/trunk/main.php#L2288
- https://plugins.trac.wordpress.org/changeset/3468084/seraphinite-accelerator/trunk/main.php?contextall=1
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bf539c01-596a-44dd-9587-6be6978ab0fa?source=cve