¿Cómo actualizo el plugin a la versión 5.104.0?
Actualizado el 14/04/2026: Se reportó CVE-2026-4664, una vulnerabilidad crítica de autenticación en el plugin Customer Reviews for WooCommerce que afecta a más de 80.000 sitios en línea.
El plugin Customer Reviews for WooCommerce permite que tiendas en línea recopilen y muestren reseñas de productos directamente en WordPress. Es uno de los plugins de reseñas más populares del ecosistema WooCommerce, con decenas de miles de instalaciones activas. El 13 de abril de 2026, investigadores de seguridad revelaron que versiones anteriores a la 5.104.0 contienen un fallo de autenticación que permite a atacantes sin login inyectar reseñas maliciosas a escala.
En 30 segundos
- CVE-2026-4664: falla de autenticación rota en Customer Reviews for WooCommerce, CVSS 5.3
- Afecta versiones hasta 5.103.0. Parcheado en 5.104.0 (disponible ahora)
- Atacantes sin login pueden inyectar reseñas falsas a través de REST API sin validación de clave
- Riesgo: spam masivo de reseñas, daño a rating de productos, impacto en SEO, erosión de confianza de clientes
- Acción: actualizar el plugin inmediatamente; auditá reseñas sospechosas posteriores al 13 de abril
WooCommerce es un plugin de código abierto para WordPress desarrollado por Automattic que permite crear tiendas de comercio electrónico. Incluye funcionalidades para gestionar productos, inventario, carrito y procesamiento de pagos.
Qué es CVE-2026-4664 y por qué importa para tu tienda
El 13 de abril de 2026, investigadores reportaron CVE-2026-4664, una vulnerabilidad de autenticación rota en el popular plugin Customer Reviews for WooCommerce. El fallo asigna una puntuación CVSS 5.3 (moderada a alta) y potencialmente afecta a más de 80.000 sitios que ejecutan versiones vulnerables del plugin.
Lo problemático es que esta vulnerabilidad no requiere que un atacante tenga credenciales, acceso administrativo o que haga algo sofisticado. Un atacante puede simplemente enviar datos malformados directamente a la API REST del plugin y inyectar reseñas falsas sin que nadie lo bloquee. En teoría, alguien podría automatizar la creación de miles de reseñas 1-star contra tus productos en cuestión de minutos. En contexto: WooCommerce sigue siendo un blanco frecuente de ataques, y cada mes aparecen nuevas CVEs.
Cómo funciona el ataque: explicación técnica simplificada
El plugin Customer Reviews for WooCommerce expone un endpoint REST API en POST /ivole/v1/review que permite enviar nuevas reseñas. Para evitar spam, el plugin debería validar que quien envía la reseña está autenticado o que posee una clave de seguridad válida. Lo explicamos a fondo en diferencias técnicas entre plataformas.
El problema está en cómo el plugin valida esa clave. El código compara un valor key enviado en la solicitud contra una clave almacenada en la base de datos (ivole_secret_key). Pero acá viene lo grave: el plugin no valida que la clave almacenada NO esté vacía. Si alguien envía key="" (una cadena vacía), y la clave guardada también está vacía (que sucede en instalaciones sin configuración completa), la comparación pasa y el atacante logra inyectar la reseña.
Un atacante puede escribir un script que envía cientos de requests POST a /ivole/v1/review con datos de reseña falsa (producto_id, rating, texto malicioso) y clave vacía. El plugin acepta todos porque la validación falla. En minutos, un producto que tenía 4.8 estrellas promedio puede caer a 2.1. Más contexto técnico está disponible en reportes de seguridad especializados.
Qué versiones de Customer Reviews for WooCommerce están afectadas
Cualquier instalación con Customer Reviews for WooCommerce versión 5.103.0 o inferior es vulnerable. El parche oficial es la versión 5.104.0, lanzada el 13 de abril de 2026 (el mismo día que se públicó la vulnerabilidad).
| Versión | Estado | Acción |
| 5.103.0 y anteriores | Vulnerable (CVE-2026-4664) | Actualizar inmediatamente a 5.104.0 |
| 5.104.0 o superior | Parcheado | Sin acción (sistema seguro) |
Para verificar tu versión: entrá a WordPress Admin → Plugins → buscá «Customer Reviews for WooCommerce» → mirá el número de versión en paréntesis al lado del nombre del plugin. Si dice «5.103.0» o menos, actualizá ya. Te puede servir nuestra cobertura de configuración correcta de WooCommerce.
Riesgos reales: qué puede pasar en tu tienda
Una vez que un atacante logra inyectar reseñas falsas sin restricción, el daño es real y cuantificable:
- Colapso de rating de productos: un producto con 4.8 estrellas puede caer a 1.5 en horas si se inyectan cientos de 1-star reviews coordinadas
- Impacto en conversiones: los clientes potenciales ven ratings bajos y no compran. Una caída de 3 puntos en promedio de estrellas reduce conversiones típicamente un 15-25%
- Daño SEO: Google detecta patrones anómalos en ratings y puede desconfiar del sitio. Además, el contenido malicioso de las reseñas (spam, URLs maliciosas) penaliza tu posicionamiento
- Redirecciones maliciosas: si los atacantes incluyen URLs en el texto de la reseña, los clientes pueden ser redireccionados a sitios de phishing o malware
- Erosión de confianza: una tienda con reseñas claramente falsas y coordinadas es percibida como poco confiable por los clientes reales
- Costo operacional de limpieza: si tenés miles de reseñas falsas, eliminarlas manualmente lleva horas o días de trabajo
Cómo verificar si estás afectado
Primero, chequeá si tenés instalado Customer Reviews for WooCommerce en tu sitio. Es posible que no lo uses. Entrá a WordPress Admin → Plugins → Todos los plugins y buscá «Customer Reviews». Si no aparece, no estás expuesto a CVE-2026-4664.
Si lo tenés instalado y la versión es 5.103.0 o anterior, estuviste expuesto desde el 13 de abril (cuando se públicó la vulnerabilidad) hasta que actualices. Mirá si hay signos de compromise: Para más detalles técnicos, mirá plugins para mejorar tu tienda.
- Reseñas nuevas sospechosas: ¿Hay reseñas 1-star coordinadas que salieron después del 13 de abril? ¿Tienen texto genérico o spam?
- Caídas abruptas en rating de productos: ¿Algún producto pasó de 4.5+ a 2.0 en poco tiempo sin motivo aparente?
- URLs maliciosas en reseñas: ¿Ves enlaces a casinos, pharma, o dominios raros en el texto de reseñas?
- Cambios en el número de reseñas: ¿Aumentó mucho el count de reseñas entre el 13 y hoy?
Para un análisis profundo, usá Wordfence (versión gratuita tiene opciones básicas) o Sucuri. Ambos pueden auditar si hubo requests sospechosos a tu API REST.
Pasos para actualizar a la versión segura 5.104.0
Si tenés versión vulnerable, la actualización lleva menos de 5 minutos:
- Entrá a tu WordPress Admin → Plugins → Todos los plugins
- Buscá «Customer Reviews for WooCommerce«
- (Opcional pero recomendado) Hacé un backup de la base de datos usando WPVivid o similar, por si algo sale mal durante la actualización
- Clickeá en «Actualizar ahora» si aparece el botón
- Si no aparece el botón de actualizar, desactiva el plugin, esperá 10 segundos, volvé a activar. Esto fuerza a WordPress a refrescar y detectar la nueva versión
- Esperá a que WordPress termine la actualización. Verificá que ahora dice 5.104.0 o superior
En WordPress moderno, las actualizaciones de plugins premium típicamente son manuales o automáticas según lo que hayas configurado en tu dashboard. Si no aparece botón de actualización, es posible que necesites verificar tu licencia del plugin o que la actualización se encuentre en la pestaña de «Actualizaciones disponibles».
Medidas de seguridad adicionales post-parche
Una vez que parches a 5.104.0, no esperes que todo esté resuelto automáticamente. Tomá medidas preventivas:
En CVE-2026-4001: Ejecución remota de código en WooCommerce Cus analizamos este riesgo en profundidad.
Para más detalles sobre esto, mirá CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Si querés profundizar, tenemos un análisis detallado en CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Podés profundizar en CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R, donde cubrimos el tema en detalle.
Esto se enlaza con los cambios de WordPress que detallamos en CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Esto se conecta directamente con CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R, donde cubrimos el tema en detalle.
Esto se conecta con CVE-2026-4001: Ejecución remota de código en WooCommerce Cus, donde cubrimos la vulnerabilidad en detalle.
Esto se conecta directamente con CVE-2026-4001: Ejecución remota de código en WooCommerce Cus, que cubrimos a fondo en otro artículo.
Si querés profundizar, tenemos un artículo específico sobre CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R.
Esto es parecido a lo que ocurrió en CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Profundizamos más sobre este tipo de vulnerabilidades en CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R.
Esto se conecta con CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R, donde cubrimos el tema en detalle.
Este tema lo cubrimos en detalle en CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Esto se conecta con CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R, donde cubrimos el tema en detalle.
Podés encontrar más detalles sobre esto en nuestro artículo CVE-2026-4001: Ejecución remota de código en WooCommerce Cus.
Este problema está vinculado con el CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R.
Esto se enlaza con CVE-2026-4664: Vulnerabilidad autenticación en WooCommerce R, donde abordamos la vulnerabilidad en profundidad.
- Auditoría de reseñas: revisá todas las reseñas publicadas entre el 13 de abril y hoy. Si encontrás spam coordinado, borralo. WooCommerce te permite eliminar reseñas desde el panel de administración
- Verificación de logs: si tenés Wordfence activo, revisá los logs de actividad de la API REST para ver si hubo requests sospechosos al endpoint /ivole/v1/review entre esas fechas
- Habilitá autenticación de dos factores: en WordPress Admin → Usuarios, asegurate de que todos los usuarios admin tengan 2FA habilitado (plugin como WP 2FA o Wordfence lo permite)
- WAF (Web Application Firewall): si no lo tenés, instalá Wordfence o iThemes Security. Un WAF bloquea requests malformados a endpoints API antes de que lleguen a tus plugins
- Monitoreo continuo: configurá alertas en Wordfence para que te notifique si hay requests anómalos a REST API o cambios en plugins
- Revisá configuración de permisos de REST API: verificá que solo usuarios autenticados puedan crear/editar reseñas en tu configuración de Customer Reviews
Preguntas Frecuentes
¿Qué es CVE-2026-4664 y cómo afecta mi tienda WooCommerce?
CVE-2026-4664 es una vulnerabilidad de autenticación rota en el plugin Customer Reviews for WooCommerce (versiones hasta 5.103.0) que permite a atacantes inyectar reseñas falsas sin necesidad de login. El riesgo es que alguien puede bombardear tus productos con reseñas 1-star coordin adas, destruyendo su rating y impactando conversiones y SEO. Cubrimos ese tema en detalle en auditar tus extensiones activas.
¿Cómo sé si tengo instalado el plugin vulnerable?
Entrá a WordPress Admin → Plugins → Todos los plugins y buscá «Customer Reviews for WooCommerce». Si aparece y la versión dice 5.103.0 o menos (aparece en paréntesis), estás vulnerable. Si el plugin no aparece en la lista, no tenés este riesgo.
¿Cuál es la versión segura de Customer Reviews for WooCommerce?
La versión 5.104.0 o superior cierra el fallo de autenticación. Fue lanzada el 13 de abril de 2026 (el mismo día que se reportó la vulnerabilidad). Cualquier versión anterior es vulnerable y debe actualizarse.
¿Cuáles son los riesgos reales si no actualizo?
Un atacante puede inyectar miles de reseñas falsas a tu tienda, colapsando el rating de tus productos (ej: de 4.8 a 1.5 en horas). El daño es SEO (Google penaliza), conversiones (clientes ven ratings bajos y no compran), y confianza (tus clientes desconfían de un sitio con reseñas claramente falsas).
¿Cómo actualizo el plugin a la versión 5.104.0?
WordPress Admin → Plugins → busca «Customer Reviews for WooCommerce» → clickeá «Actualizar ahora». Si no aparece el botón, desactiva y reactiva el plugin. Esperá a que termine la actualización y verificá que la versión cambió a 5.104.0.
Conclusión
CVE-2026-4664 es un recordatorio de por qué la actualización de plugins no es un lujo, es crítico. Un plugin popular como Customer Reviews for WooCommerce, instalado en 80.000+ sitios, puede ser un blanco de alto valor para atacantes cuando una vulnerabilidad sale a la luz.
Lo alentador es que el parche (5.104.0) está disponible desde el día mismo del reporte, y la actualización toma minutos. Si actualizás hoy, estás cubierto. Si esperás semanas, estás exponiendo tu tienda a spam masivo de reseñas, daño de SEO, y pérdida de confianza de clientes.
Después de actualizar, no descuides la auditoría: revisá reseñas sospechosas entre el 13 de abril y hoy, verificá logs, habilitá WAF, y configurá alertas en Wordfence. La defensa en profundidad es lo que realmente protege tu tienda WooCommerce.
Fuentes
- CVE-2026-4664 – National Vulnerability Database (NIST)
- Authentication Vulnerability in WooCommerce Reviews (Managed WP)
- CVE-2026-4664: Authentication Bypass in Customer Reviews (WP Firewall)
- Vulnerabilidad del Plugin WooCommerce Reviews (Elaia Lab)
- Vulnerabilidades Críticas de WordPress y WooCommerce (Digital Dot)