Un desarrollador descontento modificó el plugin “LA-Studio Element Kit” justo antes de dejar la empresa, permitiendo a los atacantes crear cuentas de administrador secretas y tomar el control total de los sitios afectados.
La seguridad no es solo un problema de software, sino de confianza humana. Hoy 23 de enero de 2026, un incidente alarmante que expone los peligros de las amenazas internas (Insider Threats). Un plugin utilizado activamente en más de 20,000 sitios web de WordPress contenía una puerta trasera intencional que permitía el secuestro total del sitio.
La vulnerabilidad, rastreada como CVE-2026-0920, ha recibido la puntuación de riesgo máxima: 9.8 sobre 10 (Crítica). No se trata de un error accidental, sino de un sabotaje deliberado.
La Historia: Sabotaje Interno
El desarrollador responsable introdujo el código malicioso a finales de diciembre de 2025, poco antes de finalizar su empleo en la empresa desarrolladora, LA-Studio.
- El Objetivo: El plugin “LA-Studio Element Kit for Elementor”, una herramienta popular para diseñar sitios web visualmente.
- El Mecanismo: El atacante escondió una lógica maliciosa dentro de la función ajax_register_handle del plugin. Utilizó técnicas de ofuscación de código (manipulación de cadenas y llamadas indirectas) para que el cambio pasara desapercibido en las revisiones de código estándar.
Cómo funciona el ataque
La puerta trasera es simple pero devastadora. Permite una Escalada de Privilegios No Autenticada.
- El Detonante: Un atacante envía una solicitud de registro de usuario al sitio web, pero incluye un parámetro secreto específico: lakit_bkrole.
- La Ejecución: Al detectar este parámetro, el código oculto omite los controles normales y asigna al nuevo usuario el rol de Administrador en lugar de “Suscriptor”.
- El Resultado: El atacante obtiene acceso total al panel de control de WordPress, desde donde puede subir archivos maliciosos, inyectar spam o redirigir el tráfico del sitio.
Versiones Afectadas
El código malicioso está presente en todas las versiones del plugin hasta la 1.5.6.3. El descubrimiento fue realizado el 12 de enero por investigadores de seguridad.
Solución Inmediata
LA-Studio respondió rápidamente tras el reporte y lanzó una versión limpia.
- Actualizar: Los administradores deben actualizar inmediatamente el plugin a la versión 1.6.0 o superior, donde la puerta trasera ha sido eliminada.
- Auditoría de Usuarios: Es crucial revisar la lista de usuarios de WordPress. Si encuentras administradores desconocidos creados recientemente (especialmente desde finales de diciembre), elimínalos de inmediato y considera el sitio comprometido.
