CVE-2026-7385 es una vulnerabilidad de tipo exposición de información en el plugin Decent Comments para WordPress que permite a cualquier atacante sin autenticación enumerar los emails de comentaristas y autores de posts a través del endpoint REST API. Afecta todas las versiones anteriores a 3.0.2, y la solución es actualizar de inmediato.
En 30 segundos
- El plugin Decent Comments (versiones anteriores a 3.0.2) expone emails de usuarios y autores vía REST API sin requerir autenticación.
- Puntuación CVSS v3.1: vectores AV:N/AC:L/PR:N/UI:N — acceso remoto, complejidad baja, sin privilegios requeridos.
- Cualquier atacante puede hacer scraping de emails registrados en tu sitio WordPress sin que te enteres.
- La corrección está disponible: actualizar a Decent Comments 3.0.2 o superior desde el dashboard de WordPress.
- Si no usás el plugin activamente, lo más prudente es desinstalarlo directamente.
¿Qué es CVE-2026-7385?
CVE-2026-7385 es el identificador asignado por el sistema Common Vulnerabilities and Exposures a una falla de exposición de información en el plugin Decent Comments para WordPress. Decent Comments es un plugin que extiende la funcionalidad nativa de comentarios de WordPress con opciones de visualización y personalización adicionales; lo usan principalmente blogs de contenido y sitios de comunidad que quieren mostrar los comentarios de otra manera.
El problema concreto: el endpoint REST API del plugin no restringe el acceso a las direcciones de email de los autores de comentarios ni de los autores de posts. Eso significa que cualquier persona con conexión a internet puede consultar esa API y obtener una lista de emails registrados en tu sitio. Sin usuario, sin contraseña, sin nada.
Según la entrada en WPScan, el fallo fue reportado y parcheado en la versión 3.0.2 del plugin. Todas las versiones anteriores a esa quedan expuestas.
La vulnerabilidad técnica: REST API sin protección
La REST API de WordPress, por sí sola, no expone emails. El problema es que Decent Comments agregó su propio endpoint y no implementó ningún control de acceso sobre qué información devolvía ese endpoint.
Los vectores CVSS v3.1 lo dicen todo: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N. Traducido al español: el ataque es por red (no hace falta acceso físico), la complejidad es baja (no se requieren condiciones especiales), no se necesitan privilegios de ningún tipo, no requiere interacción del usuario, y el scope es «cambiado» (lo que indica que el impacto trasciende el componente afectado). Impacto en confidencialidad: bajo. Integridad y disponibilidad: ningún impacto directo. Para más detalles técnicos, mirá nuestra guía completa sobre protección DDoS.
¿Y por qué «scope cambiado» si el impacto en confidencialidad es solo bajo? Porque los emails que se exponen no son datos del plugin en sí, sino de usuarios del sistema WordPress. El componente afectado (el plugin) filtra información que pertenece a otro componente (los usuarios). Eso es exactamente lo que CVSS categoriza como cambio de scope.
El ataque es trivial de ejecutar: un script de pocas líneas puede iterar sobre el endpoint REST del plugin y obtener todos los emails disponibles. No hace falta ser un atacante sofisticado.
¿Quién está en riesgo? Impacto en administradores y usuarios
Si tu sitio tiene Decent Comments instalado en una versión anterior a 3.0.2, están expuestos dos grupos de emails:
- Autores de comentarios: cualquier persona que haya dejado un comentario en tu sitio con su email real.
- Autores de posts: los usuarios con rol de autor, editor o administrador que hayan publicado contenido.
Este segundo punto es el más delicado. Los emails de administradores y editores son un vector de ataque directo: sirven para intentar phishing dirigido, para ataques de fuerza bruta al panel de administración, y para enumerar qué usuarios existen en el sitio (lo que también evade otras protecciones).
Los sitios más expuestos son los que tienen comunidad activa: blogs con muchos comentaristas, sitios de noticias, comunidades temáticas, foros ligeros construidos sobre WordPress. Cuantos más comentarios, más emails disponibles para un atacante. Complementá con como el XSS documentado en CVE-2026-2955.
Riesgos reales: del harvesting al phishing dirigido
Ponele que tenés un blog sobre WordPress con 200 posts y 500 comentarios de usuarios reales. Un atacante consulta el endpoint de Decent Comments y obtiene en segundos una lista de 300 emails únicos. ¿Qué puede hacer con eso?
- Email harvesting masivo: vender la lista o usarla para spam.
- Phishing dirigido a administradores: con el email del admin, puede armar un mensaje falso de WordPress o de tu host.
- Credential stuffing: probar esos emails contra contraseñas filtradas en otras brechas (HaveIBeenPwned tiene millones de combinaciones).
- Reconocimiento previo a ataques mayores: identificar qué usuarios existen para apuntar ataques de fuerza bruta específicamente a ellos.
¿Alguien está explotando esto activamente? Todavía no hay reportes públicos confirmados de explotación masiva, pero la baja complejidad del ataque hace que sea cuestión de tiempo si no actualizás.
Cómo verificar si tu sitio está afectado
Los pasos son directos:
- Entrá a Plugins > Plugins instalados en tu dashboard de WordPress.
- Buscá «Decent Comments» en la lista.
- Si aparece, fijate en la columna de versión. Si dice algo anterior a 3.0.2, estás expuesto.
- Si no tenés acceso al panel admin (sitio caído, usuario bloqueado), podés revisar vía FTP: el archivo principal del plugin está en
/wp-content/plugins/decent-comments/y el número de versión figura en el header del archivo principal o enreadme.txt.
Si el plugin está instalado pero desactivado, técnicamente el endpoint no debería estar accesible. Igual, si no lo usás, desinstalalo. Los plugins inactivos siguen siendo superficie de ataque potencial en otras circunstancias.
CVE-2026-7385 WordPress: actualización inmediata paso a paso
Antes de cualquier cambio en plugins, hacé un backup. Si usás WPVivid, JetBackup, o cualquier otra solución, ejecutalo ahora. Con el backup confirmado, seguí estos pasos:
- Opción rápida (dashboard): en Plugins > Plugins instalados, Decent Comments debería mostrar «Actualizar ahora». Hacé clic y esperá que termine.
- Opción manual: descargá la versión 3.0.2 o superior desde el repositorio oficial de WordPress, desactivá el plugin, eliminalo, subí el nuevo via FTP o usando el instalador de plugins, y reactivalo.
- Verificá que el sitio funcione correctamente después de la actualización, especialmente las páginas con secciones de comentarios.
La actualización no debería romper nada si venías usando una versión anterior reciente. Eso sí: si tenés modificaciones de template o CSS relacionadas al plugin, revisalas por las dudas. Te puede servir nuestra cobertura de similar a otros ataques XSS recientes.
¿Vale la pena seguir usando Decent Comments?
Pregunta válida. Este tipo de fallos (información sensible expuesta por descuido en el diseño de un endpoint) es más frecuente en plugins con pocos recursos de desarrollo o que tienen mucho tiempo sin mantenimiento activo.
Si Decent Comments resuelve algo concreto para tu flujo, la versión 3.0.2 es segura según la información disponible. Pero si lo instalaste hace tiempo y no recordás bien para qué lo usás, esta es una buena oportunidad para evaluarlo. Los comentarios nativos de WordPress, bien configurados y con Akismet activo, cubren la mayoría de los casos sin la superficie de ataque adicional de un plugin de terceros.
Si necesitás funcionalidades avanzadas de comentarios y buscás alternativas, revisá siempre: fecha del último update, cantidad de instalaciones activas, historial de reportes de seguridad en el repositorio de WordPress.org. Tres indicadores básicos que salvan bastante.
Tabla: comparación de riesgo según estado de Decent Comments
| Estado del plugin | ¿Emails expuestos? | Acción recomendada |
|---|---|---|
| Instalado y activo, versión < 3.0.2 | Sí, endpoint accesible | Actualizar a 3.0.2+ de inmediato |
| Instalado y desactivado, versión < 3.0.2 | Probablemente no (endpoint inactivo) | Actualizar o desinstalar |
| Instalado y activo, versión 3.0.2+ | No (fallo corregido) | Sin acción necesaria |
| No instalado | No | Sin acción necesaria |
Monitoreo y prevención para que esto no vuelva a pasarte
La realidad de gestionar un sitio WordPress es que aparecen CVEs nuevos todo el tiempo. La diferencia entre los que parchean en horas y los que se enteran semanas después es básicamente una sola cosa: tener alertas configuradas.
Tres canales que vale la pena seguir: el feed de threat intelligence de Wordfence, las alertas de WPScan (tienen una API y también newsletter), y los avisos de INCIBE-CERT si operás en España o Latinoamérica. Los tres cubrieron CVE-2026-7385 con bastante rapidez.
A nivel de hardening general: si no usás la REST API de WordPress para nada externo, podés restringir el acceso a endpoints específicos. No es la solución para este CVE (que ya tiene parche), pero reduce la superficie en general. Si tu hosting tiene WAF incluido, revisá que esté activo — en donweb.com, por ejemplo, los planes con LiteSpeed incluyen opciones de firewall a nivel servidor que pueden bloquear patrones de scraping automatizado.
Errores comunes al manejar este tipo de vulnerabilidades
Error 1: asumir que el plugin desactivado es equivalente a no tenerlo. En este caso puntual, probablemente el endpoint REST no responde si el plugin está desactivado. Pero no siempre es así, y hay fallos que persisten en archivos presentes en el filesystem aunque el plugin esté apagado. La práctica correcta es desinstalar lo que no usás. Esto se conecta con lo que analizamos en como las inyecciones SQL críticas sin autenticación.
Error 2: actualizar sin backup previo. En el 95% de los casos una actualización de plugin sale bien. Pero ese 5% existe, y cuando falla en producción querés tener un restore listo. El backup tarda 3 minutos; recuperarse de una actualización mal salida puede tardar horas.
Error 3: ignorar vulnerabilidades de «solo confidencialidad». Mucha gente descarta estas alertas porque «no hay ejecución de código ni deface». El problema es que los emails obtenidos vía CVE-2026-7385 son el punto de entrada para ataques más graves. La información disclosure es la primera pieza, no la última.
Preguntas Frecuentes
¿Qué es la vulnerabilidad CVE-2026-7385?
CVE-2026-7385 es una falla de exposición de información en el plugin Decent Comments para WordPress. El endpoint REST API del plugin no requiere autenticación y devuelve emails de comentaristas y autores de posts a cualquier visitante que lo consulte. Afecta todas las versiones anteriores a 3.0.2.
¿Cómo actualizar el plugin Decent Comments a la versión 3.0.2?
Desde el dashboard de WordPress, ir a Plugins > Plugins instalados, ubicar Decent Comments y hacer clic en «Actualizar ahora». Alternativamente, descargar la versión corregida desde el repositorio oficial de WordPress.org, desinstalar la versión vulnerable e instalar la nueva. Siempre hacer backup antes.
¿Cómo afecta la exposición de emails a mi sitio WordPress?
Un atacante puede obtener una lista de todos los emails de usuarios que comentaron o publicaron en tu sitio sin ninguna barrera. Eso habilita campañas de phishing dirigidas, intentos de acceso al panel de administración con esos emails, y ataques de credential stuffing usando contraseñas filtradas de otras brechas.
¿Puedo verificar si tengo instalado Decent Comments vulnerable?
Sí. En Plugins > Plugins instalados, buscás «Decent Comments» y revisás el número de versión. Si es anterior a 3.0.2, estás expuesto. Si no tenés acceso admin, podés revisar el archivo readme.txt dentro de /wp-content/plugins/decent-comments/ vía FTP.
¿Qué riesgos tiene que se expongan emails de comentarios?
El riesgo más directo es el phishing: los atacantes pueden enviar correos falsos haciéndose pasar por WordPress, tu hosting o servicios que usás, usando el email real del destinatario para mayor credibilidad. También pueden usar esos emails para intentar acceder a otros servicios donde la persona tenga cuenta con la misma dirección.
Conclusión
CVE-2026-7385 no es el tipo de vulnerabilidad que te deja el sitio tirado ni te borra la base de datos. Pero es el tipo que facilita ataques más graves si no lo cerrás a tiempo. La «discreción» del fallo (solo filtra emails, no ejecuta código) es lo que hace que mucha gente lo subestime, y eso es un error.
El parche existe, está disponible, y la actualización tarda menos de dos minutos. Si tenés Decent Comments instalado en versión anterior a 3.0.2, actualizalo hoy. Si no lo usás, desinstalalo. Y si no tenés alertas de seguridad configuradas para tu sitio WordPress, este es el recordatorio para armarlo: un feed de WPScan o Wordfence cuesta poco y evita enterarte de estas cosas semanas tarde.