Se informa sobre la identificación de dos vulnerabilidades críticas que afectan plugins ampliamente utilizados en el ecosistema WordPress. La primera vulnerabilidad (CVE-2026-1357, CVSS 9.8) en el plugin WPvivid Backup & Migration permite la ejecución remota de código sin autenticación mediante la carga arbitraria de archivos, comprometiendo más de 900,000 sitios web.
La segunda vulnerabilidad (CVE-2026-23550, CVSS 10.0) en el plugin Modular DS permite la escalada de privilegios sin autenticación, afectando más de 40,000 instalaciones y siendo activamente explotada desde el 13 de enero de 2026. Ambas vulnerabilidades representan un riesgo crítico para la integridad, confidencialidad y disponibilidad de los sitios WordPress afectados, requiriendo acción inmediata de los administradores de sistemas.
-3.jpg)
