CVE-2026-3461: Detectada Vulnerabilidad Crítica (CVSS 9.8)

⟫ 16/04/2026 ⟫ NVD/NIST

Fuente: NVD NIST

Se ha descubierto una vulnerabilidad crítica, designada como CVE-2026-3461, que presenta una puntuación CVSS de 9.8 sobre 10. Este hallazgo supone un riesgo considerable para los sistemas que utilizan el plugin de Visa Acceptance Solutions para WordPress y exige una atención urgente por parte de los equipos de ciberseguridad.

La vulnerabilidad radica en la función `express_pay_product_page_pay_for_order()` del mencionado plugin, que permite a los usuarios iniciar sesión sin la debida autenticación. En todas las versiones hasta e incluyendo la 2.1.0, este mecanismo permite que un atacante no autenticado inicie sesión como cualquier usuario existente, incluidos los administradores, simplemente proporcionando la dirección de correo electrónico de la víctima en el parámetro `billing_details` durante el proceso de pago como invitado para productos de suscripción. Esta grave falla de seguridad significa que no se requiere la verificación de la propiedad del correo electrónico, la introducción de una contraseña, ni la validación de un token de un solo uso. Como resultado, esto conlleva a una toma de control total de la cuenta y a la posible compromisión del sitio web.

La vulnerabilidad CVE-2026-3461 está catalogada como CWE-288, lo que indica que se trata de una debilidad asociada a un bypass de autenticación, un tipo específico de fallo de seguridad que pone en riesgo la integridad de los sistemas afectados.

El vector de ataque se clasifica como NETWORK, con una complejidad de ataque baja. No se requieren privilegios específicos ni interacción del usuario para llevar a cabo el ataque, lo que agrava aún más la situación, dado que cualquier atacante puede explotar esta vulnerabilidad sin mayores dificultades.

Con una puntuación CVSS de 9.8, esta vulnerabilidad se sitúa en la categoría crítica de la escala Common Vulnerability Scoring System (CVSS) v3.1, que oscila de 0 a 10. Las vulnerabilidades que superan la puntuación de 9.0 son consideradas de alto riesgo, ya que generalmente permiten la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema afectado.

Para obtener información técnica adicional y los parches correspondientes, los administradores de sistemas pueden acceder a las siguientes referencias: [class-visa-acceptance-payment-gateway-expresspay-public.php, línea 777](https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/tags/2.1.0/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L777), [línea 790](https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/tags/2.1.0/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L790) y [trunk, línea 777](https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/trunk/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L777).

Ante este escenario, es imperativo que todas las organizaciones que utilicen el plugin afectado implementen de inmediato los parches de seguridad disponibles. Además, se recomienda llevar a cabo una revisión exhaustiva de los sistemas en busca de cualquier indicador de compromiso y monitorizar el tráfico de red para detectar actividades sospechosas relacionadas con esta vulnerabilidad. La rapidez y eficacia en la respuesta serán cruciales para mitigar las posibles consecuencias de este grave fallo de seguridad.

◢ VULNERABILIDADES ◣

CVE-2026-3461: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 16/04/2026 ⟫ NVD/NIST

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-3461, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The Visa Acceptance Solutions plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 2.1.0. This is due to the `express_pay_product_page_pay_for_order()` function logging users in based solely on a user-supplied billing email address during guest checkout for subscription products, without verifying email ownership, requiring a password, or validating a one-time token. This makes it possible for unauthenticated attackers to log in as any existing user, including administrators, by providing the target user's email address in the billing_details parameter, resulting in complete account takeover and site compromise. La vulnerabilidad está clasificada como CWE-288, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/tags/2.1.0/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L777 https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/tags/2.1.0/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L790 https://plugins.trac.wordpress.org/browser/visa-acceptance-solutions/trunk/public/class-visa-acceptance-payment-gateway-expresspay-public.php#L777 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

← VOLVER A CIBERSEGURIDAD