← Volver al Blog
Security Briefing 10 min de lectura

Vulnerabilidades críticas en plugins de WordPress exponen millones de sitios — Lo que las empresas conformes con NIS2 deben hacer ahora

Múltiples vulnerabilidades críticas en plugins de WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) exponen más de 8 millones de sitios web a ejecución remota de código. Las empresas reguladas por NIS2 enfrentan la notificación obligatoria en 24 horas — aquí está su plan de acción.


Tres vulnerabilidades críticas en plugins de WordPress descubiertas

CVE-2026-1743 — WP Advanced Forms: RCE no autenticada (CVSS 9.8)

Una vulnerabilidad crítica de ejecución remota de código no autenticada en WP Advanced Forms (versiones < 3.4.2) permite a los atacantes ejecutar código PHP arbitrario. Más de 3 millones de instalaciones activas afectadas.

CVE-2026-1891 — ElementorPro Widgets: Inyección SQL (CVSS 9.1)

Una falla de inyección SQL en ElementorPro Widgets (versiones < 4.1.7) permite la extracción completa de la base de datos. 2,8 millones de sitios en riesgo.

CVE-2026-2034 — WooCommerce Payments: Bypass de autenticación (CVSS 9.4)

Un bypass de autenticación en WooCommerce Payments Gateway (versiones < 6.9.3) permite la escalación a privilegios de administrador. 2,5 millones de tiendas potencialmente comprometidas.


Evaluación de impacto

CVEPluginCVSSInstalaciones activasVersión parcheada
CVE-2026-1743WP Advanced Forms9.83,1M3.4.2
CVE-2026-1891ElementorPro Widgets9.12,8M4.1.7
CVE-2026-2034WooCommerce Payments9.42,5M6.9.3

En conjunto, estas vulnerabilidades afectan a más de 8 millones de instalaciones de WordPress en todo el mundo.


Implicaciones de cumplimiento NIS2

Bajo la Directiva NIS2 de la UE (Directiva 2022/2555), las organizaciones clasificadas como entidades esenciales o importantes enfrentan obligaciones estrictas:

Alerta temprana de 24 horas

El Artículo 23 de NIS2 exige una alerta temprana dentro de las 24 horas de conocer un incidente significativo.

Notificación de incidente de 72 horas

Una notificación completa debe presentarse al CSIRT nacional dentro de las 72 horas.

Multas y sanciones


Plan de acción inmediato

Paso 1: Identificar activos afectados (0–2 horas)

Paso 2: Parchear inmediatamente (2–4 horas)

Paso 3: Investigar compromisos (4–12 horas)

Paso 4: Reportes NIS2 (si está comprometido)

Proteja su organización con KENSAI

Reciba alertas de vulnerabilidad en tiempo real, monitoreo de cumplimiento NIS2 y briefings de seguridad diarios.

Comenzar prueba gratuita →

Mantenga la vigilancia. — El equipo de seguridad KENSAI