Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en GPLI
- Subida arbitraria de archivos en plugin Ninja Forms de WordPress
Múltiples vulnerabilidades en GLPI
- Versión 11.0.0 y posteriores (CVE-2026-26026, CVE-2026-26263 y CVE-2026-26027).
- Versión 10.0.0 y posteriores (CVE-2026-29047).
- Versión 0.60 y posteriores y versiones anteriores a la 10.0.24 (CVE-2026-25932).
BZHunt, aarjubh, UncleJ4ck, Shakun8 y varandaa han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 de severidad alta que, en caso de ser explotadas, podrían permitir la ejecución remota de código.
Actualizar a las versiones, respectivamente:
- 11.0.6
- 10.0.24
CVE-2026-26026: vulnerabilidad de severidad crítica de tipo inyección de plantillas por parte del administrador que podría permitir una ejecución remota de código.
Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores CVE-2026-26263, CVE-2026-29047, CVE-2026-26027 y CVE-2026-25932.
Subida arbitraria de archivos en plugin Ninja Forms de WordPress
- Plugin Ninja Forms, versión 3.3.26 y anteriores.
El plugin Ninja Forms de WordPress tiene una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto por parte de atacantes no autenticados.
Actualizar a la versión 3.3.27.
CVE-2026-0740: el plugin Ninja Forms para WordPress tiene una vulnerabilidad de subida de archivos arbitrarios, debido a que en la función 'NF_FU_AJAX_Controllers_Uploads::handle_upload' no se valida el tipo de fichero. Esto permite a atacantes no autenticados subir ficheros arbitrarios en el servidor del sitio afectado, lo que puede derivar en una ejecución de código en remoto.