Múltiples vulnerabilidades críticas en plugins de WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) exponen más de 8 millones de sitios web a ejecución remota de código. Las empresas reguladas por NIS2 enfrentan la notificación obligatoria en 24 horas — aquí está su plan de acción.
Una vulnerabilidad crítica de ejecución remota de código no autenticada en WP Advanced Forms (versiones < 3.4.2) permite a los atacantes ejecutar código PHP arbitrario. Más de 3 millones de instalaciones activas afectadas.
Una falla de inyección SQL en ElementorPro Widgets (versiones < 4.1.7) permite la extracción completa de la base de datos. 2,8 millones de sitios en riesgo.
Un bypass de autenticación en WooCommerce Payments Gateway (versiones < 6.9.3) permite la escalación a privilegios de administrador. 2,5 millones de tiendas potencialmente comprometidas.
| CVE | Plugin | CVSS | Instalaciones activas | Versión parcheada |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
En conjunto, estas vulnerabilidades afectan a más de 8 millones de instalaciones de WordPress en todo el mundo.
Bajo la Directiva NIS2 de la UE (Directiva 2022/2555), las organizaciones clasificadas como entidades esenciales o importantes enfrentan obligaciones estrictas:
El Artículo 23 de NIS2 exige una alerta temprana dentro de las 24 horas de conocer un incidente significativo.
Una notificación completa debe presentarse al CSIRT nacional dentro de las 72 horas.
wp plugin list --status=active en todas las instanciasReciba alertas de vulnerabilidad en tiempo real, monitoreo de cumplimiento NIS2 y briefings de seguridad diarios.
Comenzar prueba gratuita →Mantenga la vigilancia. — El equipo de seguridad KENSAI