El plugin WooCommerce Custom Product Addons Pro contiene una vulnerabilidad de ejecución remota de código (CVE-2026-4001, CVSS 9.8) publicada el 24 de marzo de 2026. La falla permite a atacantes no autenticados ejecutar código PHP arbitrario a través de campos de fórmula de precios sin sanitización. Todas las tiendas con versiones anteriores a la 5.4.2 están expuestas al robo de datos de clientes y acceso administrativo comprometido.
En 30 segundos
- CVE-2026-4001: falla RCE en WooCommerce Custom Product Addons Pro, CVSS 9.8 (crítica)
- Afecta versiones hasta 5.4.1. Parcheado en 5.4.2 (disponible ahora)
- Atacantes sin login pueden inyectar código PHP en campos de precios personalizados
- Riesgo: robo de datos de tarjetas, credenciales admin, instalación de malware
- Acción: actualizar el plugin inmediatamente; si no podés, desactivalo o limitá acceso al directorio
WooCommerce es un plugin de código abierto para WordPress desarrollado por Automattic que permite crear y gestionar tiendas de comercio electrónico. Proporciona funcionalidades para gestionar productos, inventarios, pagos y pedidos.
WooCommerce Custom Product Addons Pro es un plugin de WordPress que permite a las tiendas en línea ofrecer campos de personalización avanzados en productos (precios dinámicos, fórmulas matemáticas, campos condicionales). La vulnerabilidad está en el procesamiento de estas fórmulas sin validación correcta.
¿Qué es CVE-2026-4001? La vulnerabilidad RCE crítica del plugin
El 24 de marzo de 2026, investigadores de seguridad reportaron un fallo crítico en Custom Product Addons Pro que asigna una puntuación CVSS 9.8 (máxima severidad). La vulnerabilidad vive en el archivo includes/process/price.php, donde la función de procesamiento de fórmulas de precios utiliza eval() sin escapar comillas ni validar la entrada.
Lo grave: no necesita que un cliente haga nada. Un atacante envía un payload malicioso a través de una solicitud HTTP directa al formulario del producto, y el código PHP se ejecuta en el servidor con permisos del usuario de WordPress. Sin requerir login, sin requerir que alguien haga clic en un link malintencionado, simplemente existiendo.
(Si alguna vez configuraste un campo de precio personalizado con fórmula matemática en ese plugin, sabés que lo que pasa en el backend es una caja negra.) Relacionado: alternativas seguras de plugins WooCommerce.
¿Qué versiones están afectadas?

Cualquier instalación con Custom Product Addons Pro versión 5.4.1 o inferior está comprometida. El parche oficial es la versión 5.4.2, lanzada el 28 de marzo de 2026.
Para verificar tu versión: entrá a WordPress Admin → Plugins → buscá «Custom Product Addons Pro» → fijate el número en parenthesis al lado del nombre. Si dice «5.4.1» o menos, actualizá ya.
Cómo funciona la explotación: la inyección de código PHP
La vulnerabilidad opera así: el plugin permite crear campos de precio «personalizados» con fórmulas dinámicas. Un campo típico usa la sintaxis {this.value} * 1.1 para aplicar un margen del 10%. Cuando procesa la fórmula, la función sanitize_values() solo elimina etiquetas HTML pero no escapa caracteres especiales como comillas simples.
Un atacante construye un payload como {this.value}'; exec($_GET['cmd']); echo ' y lo envía a través de la solicitud POST. El código se interpreta como PHP válido, se ejecuta, y de repente el atacante tiene control remoto del servidor. Complementá con cómo pueden comprometerse tus datos.
No requiere estar autenticado, no hay verificación de nonce (token de seguridad), no hay logs que adviertan. El atacante entra, ejecuta comandos, instala una puerta trasera, y se va. Vos no ves nada hasta que la tienda ya está comprometida.
¿Qué daño pueden hacer los atacantes?
Una vez que inyectan código PHP, el atacante tiene acceso total al servidor con los permisos del usuario de WordPress (www-data o similar). Desde ahí pueden:
- Robar datos de clientes: nombres, emails, direcciones, teléfonos, historial de compras
- Acceder a bases de datos de pagos: tarjetas de crédito, información sensible (si no está tokenizada)
- Crear cuentas admin maliciosas: para acceso persistente sin que vos lo sepas
- Inyectar malware: redirecciones silenciosas, skimmers de tarjetas, redireccionadores a sitios maliciosos
- Defacement: cambiar tu homepage, insertar spam, mensajes de rescate
- Minería de criptomonedas: ejecutar scripts que usan CPU de tu servidor para minar Bitcoin
- Instalar ransomware: cifrar archivos de la BD y pedir rescate
Ojo: si tu tienda maneja datos de clientes europeos, estás también en territorio GDPR. Una filtración comprometida = multas potenciales de miles de euros.
Cómo actualizar Custom Product Addons Pro (paso a paso)
Si tenés el plugin instalado, esto lleva 2 minutos:
- Entrá a tu WordPress Admin → Plugins → Todos los plugins
- Buscá «Custom Product Addons Pro«
- (Opcional pero recomendado) Hacé un backup de la base de datos usando WPVivid o similar, por si algo falla
- Clickeá en «Actualizar ahora» si aparece; si no aparece, desactiva el plugin, esperá 10 segundos, volvé a activar (fuerza refresh de versión)
- Esperá a que WordPress termine. Verificá que dice 5.4.2 o superior
En la mayoría de los casos moderno de WordPress, las actualizaciones son automáticas. Pero Custom Product Addons Pro es plugin premium, así que probablemente necesites clickear manualmente o tener automáticas habilitadas en tu dashboard. Más contexto en plataformas alternativas más seguras.
¿Mi tienda fue hackeada? Señales de compromiso por RCE
Si no sabés si estuviste expuesto a ataques, buscá estas pistas:
- Cuentas de admin desconocidas: WordPress Admin → Usuarios. ¿Hay usuarios que vos no creaste?
- Cambios extraños en la homepage o posts: texto spam, anuncios sospechosos, enlaces a casinos/pharma
- Scripts desconocidos en el footer: abrí Apariencia → Editor de código, buscá
<script>raros - Archivos PHP nuevos en directorios raros: /wp-content/uploads/, /wp-includes/, cualquier lugar que no deberían estar
- Enlentecimiento del sitio: CPU/RAM al 100%, sin causa aparente
- Google Search Console reporta «sitio comprometido»: Google detectó malware y desindexó tu sitio
- Correos de clientes quejándose de redirecciones sospechosas: «Cuando entré a tu tienda, me redireccionó a una página de descargas»
Para un análisis profundo, usá un plugin de seguridad como Wordfence (gratuito tiene opciones básicas), Sucuri, o contratá un servicio de limpieza especializado.
Medidas de protección adicionales para WooCommerce
Actualizar es lo primero, pero no es lo único. Ponele que un atacante logra bypassear el parche (extremadamente improbable, pero la paranoia es tu amiga en seguridad):
- Cambiar el prefijo de la base de datos: por defecto es «wp_». Modificalo a algo como «swp_» o «seg_». Es una capa de ofuscación; si alguien inyecta SQL, ya sabe menos
- Proteger wp-config.php y .htaccess: agregá reglas en .htaccess para bloquear acceso directo a estos archivos
- Bloquear ejecución PHP en directorios innecesarios: agregá esto en .htaccess del directorio /uploads/: `
Deny from all `. Así aunque alguien suba un .php malicioso, no se ejecuta - Implementar autenticación de dos factores (2FA): en Admin → Usuarios, aplicá 2FA en todas las cuentas de admin. WP 2FA es gratuito
- Mantener TODOS los plugins y temas actualizados: CVE-2026-4001 es crítica, pero hay decenas de vulnerabilidades menores cada mes
- Backups regulares y verificados: hacé backups diarios, guardá en cloud (no solo en el mismo servidor). Cada mes, probá restaurar un backup en local para asegurar que funciona
- Monitorizar logs: mirá /var/log/apache2/ o /var/log/nginx/ regularmente. Equipos de seguridad reales leen logs; es aburrido pero salva vidas
Si no puedes actualizar: medidas de emergencia
En casos raros (el plugin está muy personalizado, la actualización rompe funcionalidad crítica), no podés actualizar inmediatamente. Acá hay opciones de corto plazo:
- Desactivar el plugin temporalmente: si es posible, desactivalo hasta poder actualizar. Reviewá qué funcionalidad pierdés; a veces los campos personalizados se pueden reemplazar con alternativas menos riesgosas
- Renombrar la carpeta del plugin vía SFTP: si no podés entrar a admin (está comprometido), conectate vía SFTP y renombrá la carpeta /wp-content/plugins/custom-product-addons-pro/ a «custom-product-addons-pro-disabled». Se desactiva automáticamente
- Implementar WAF (Web Application Firewall): si tu hosting lo permite, agregá Cloudflare o un WAF local que bloquee requests con
eval()en los parámetros POST - Limitar acceso al directorio vulnerable: agregá una regla en .htaccess para bloquear POST requests a /wp-content/plugins/custom-product-addons-pro/includes/process/
- Monitorear tráfico sospechoso en tiempo real: usá un plugin como Wordfence en modo alertas para recibir notificaciones si alguien intenta explotar la falla
La verdad es que estas son medidas temporales. El parche es la solución real. Si el hosting no permite actualizar (cosa rara), es hora de cambiar de hosting.
Errores comunes que cometen los vendedores de WooCommerce
1. «Mi tienda es pequeña, no me van a hackear»
Los bots automáticos no discriminan por tamaño. Un script buceador simplemente escanea cualquier URL que encuentre y prueba CVE-2026-4001 en todas. No importa si tu tienda vende 10 o 10.000 productos. Esto se conecta con lo que analizamos en problemas técnicos causados por exploits.
Esto se conecta con CVE-2026-4001: Ejecución remota de código en WooCommerce Cus, que ya cubrimos en profundidad.
Si querés saber cómo blindar tu WooCommerce, tenemos un análisis completo en CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R.
Si querés profundizar en esto, tenemos un artículo sobre RCE en addons.
Si querés profundizar en esto, tenemos un artículo sobre parchear WooCommerce.
Profundizamos en este tema en CVE-2026-4001: Ejecución remota de código en WooCommerce Cus, donde analizamos todos los detalles.
Si querés profundizar en esto, tenemos un artículo sobre CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Un caso parecido lo analizamos en profundidad acá: CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Esto está directamente relacionado con CVE-2026-4001: Ejecución remota de código en WooCommerce Cus, donde lo explicamos a fondo.
2. «Actualizar puede romper mi tienda, así que espero un mes»
El riesgo de actualizar es mínimo (Custom Product Addons Pro es un plugin simple, sin dependencias complicadas). El riesgo de NO actualizar es que te roben datos de clientes. El cálculo es obvio. Ampliamos el tema en diferencias arquitectónicas entre plataformas.
3. Asumir que Wordfence o Sucuri van a proteger de RCE
Estos plugins detectan malware DESPUÉS. Si el código se ejecuta, ya es tarde. Son excelentes para limpieza post-ataque, pero no previenen RCE de cero día. El parche es la prevención. Lo complementamos en automatización inteligente de tiendas.
Preguntas Frecuentes
¿Cuál es la versión segura de Custom Product Addons Pro?
Versión 5.4.2 o superior. Cualquier cosa por debajo está vulnerable.
¿Cómo proteger mi tienda WooCommerce de futuras vulnerabilidades?
Mantén plugins y WordPress actualizados automáticamente (en WordPress Admin → Plugins, habilita «actualizaciones automáticas»). Usá un plugin de seguridad activo como Wordfence. Hazte backups diarios. No instales plugins de dudoso origen o con pocas reseñas.
¿Mi tienda fue hackeada por CVE-2026-4001? ¿Cómo lo sé seguro?
Google Search Console mostrará «sitio comprometido» si Google detectó malware. En WordPress Admin, buscá cuentas de usuario desconocidas. Pedile al hosting que revise los logs de acceso a /includes/process/price.php en fechas cercanas al 24 de marzo. Si ves requests sospechosos ahí, probablemente te atacaron.
¿Qué pasa si mi hosting no me deja actualizar plugins?
Pedile al soporte que actualice por vos. Si se rehúsan, es un red flag. Considerá cambiar de hosting a uno que permita gestionar plugins (como donweb.com, que tiene soporte nativo para WordPress).
¿El parche 5.4.2 soluciona el problema completamente?
Sí. El parche escapa correctamente todas las comillas y valida la entrada antes de pasar a eval(). Según el análisis técnico en GitHub, el fix es sólido y cierra la falla.
Conclusión
CVE-2026-4001 es una de esas vulnerabilidades que todo administrador de WooCommerce debería haber parchado ya el 28 de marzo de 2026. No es un problema teórico: es explotable, crítico, y no requiere que el atacante tenga acceso previo.
Si tu tienda corre Custom Product Addons Pro, la acción es inmediata: actualizá a 5.4.2. Lleva 2 minutos. Si no podés, desactivá el plugin hasta que puedas. El «ponele que lo hago después» no es una estrategia de seguridad.
Una vez actualizado, aplicá las capas de protección adicionales (2FA, WAF, backups, monitoreo). Una sola vulnerabilidad te puede costar miles en fraude, downtime y reputación. La paranoia es tu aliada.