El CVE-2026-6674 es una vulnerabilidad de inyección SQL descubierta en el plugin «CMS für Motorrad Werkstätten» para WordPress, que afecta todas las versiones hasta la 1.0.0 inclusive. Un atacante autenticado con nivel de suscriptor puede explotar el parámetro arttype para extraer información sensible de la base de datos del sitio.
En 30 segundos
- Plugin afectado: CMS für Motorrad Werkstätten, versiones hasta 1.0.0 inclusive
- Tipo de ataque: SQL Injection autenticada vía parámetro
arttype(CWE-89) - Quién puede atacar: cualquier usuario con nivel subscriber o superior — no se necesita ser admin
- Impacto: extracción de datos sensibles (usuarios, emails, hashes de contraseñas); sin impacto a integridad ni disponibilidad
- Puntuación CVSS v3.1: 6.5 (Medium/High en confidencialidad)
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence Inc. que proporciona protección contra malware, firewall de aplicación web y monitoreo de vulnerabilidades.
¿Qué es CVE-2026-6674? — Inyección SQL en WordPress
El CVE-2026-6674 seguridad WordPress identifica una vulnerabilidad de tipo SQL Injection (clasificada bajo CWE-89: Improper Neutralization of Special Elements used in an SQL Command) presente en el plugin CMS für Motorrad Werkstätten. Según la publicación de INCIBE-CERT, el problema surge por dos fallas simultáneas: el plugin no escapa correctamente el parámetro arttype que recibe del usuario, y las consultas SQL existentes no usan prepared statements.
El vector CVSS es AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N. Traducido: ataque remoto, baja complejidad, requiere privilegios bajos (subscriber), sin interacción de usuario, y el impacto sobre confidencialidad es alto. Disponibilidad e integridad quedan intactas. Puntuación base: 6.5.
¿Por qué importa si el puntaje no llega a «crítico»? Porque un atacante con acceso subscriber puede vaciar tablas enteras de tu WordPress sin que te enteres.
Plugin afectado: CMS für Motorrad Werkstätten
El plugin en cuestión es un sistema de gestión de contenido específico para talleres de motocicletas. Su nombre en alemán ya da una pista: es una herramienta bastante nicho, diseñada para negocios del rubro automotriz que usan WordPress como CMS. Está disponible en el repositorio oficial de WordPress.org y la versión afectada es la 1.0.0 (la única publicada hasta la fecha de este artículo).
El volumen de instalaciones activas es bajo (el plugin no figura entre los populares), pero eso no lo hace irrelevante. Los plugins de nicho son exactamente el vector que los atacantes explotan después de que los más famosos ya están parcheados y monitoreados. Si lo tenés instalado y no lo usás activamente, es ruido en tu superficie de ataque.
Detalles técnicos de la vulnerabilidad
El código vulnerable vive en includes/cfmw-positions.php, específicamente en las líneas 202 y 207 de la versión 1.0.0. Según el análisis de Wordfence Threat Intel, el parámetro arttype se inserta directamente en una consulta SQL sin pasar por $wpdb->prepare() ni por ningún proceso de sanitización.
El resultado práctico: un atacante puede agregar consultas SQL adicionales (SQL injection del tipo «stacked queries» o UNION-based) y extraer prácticamente cualquier tabla de la base de datos de WordPress. Los datos más apetecibles son la tabla wp_users (con emails y hashes de contraseñas) y wp_usermeta (con roles, configuraciones y datos privados de cada usuario).
Lo que no puede hacer esta vulnerabilidad: modificar datos ni tirar el sitio. El vector de integridad e impacto a disponibilidad son ambos N (None) en el CVSS. Eso sí, con los hashes de contraseñas en la mano, el siguiente paso para un atacante es un ataque de cracking offline. Y ahí sí la integridad pasa a estar en riesgo. Esto se conecta con lo que analizamos en estrategias completas de protección DDoS.
¿Quién puede explotar esta vulnerabilidad?
Requiere autenticación. Específicamente, el atacante necesita una cuenta de nivel subscriber o superior en el sitio WordPress objetivo. No es un ataque anónimo desde internet.
Eso la hace menos grave que una RCE sin autenticación, claro. Pero hay escenarios concretos donde esto es un problema serio:
- Sitios con registro abierto: si cualquiera puede crear una cuenta, cualquiera puede explotar esto
- Membresías o e-commerce: los clientes registrados tienen nivel subscriber por defecto en WooCommerce
- Acceso comprometido previo: si un atacante ya tiene credenciales de cualquier usuario (por phishing, por ejemplo), puede escalar el daño con esta vuln
- Empleados descontentos: cualquier editor o contributor también tiene el nivel necesario
Comparado con otras vulns más ruidosas, esta no escala a RCE directamente. Pero en un sitio con usuarios registrados (tienda, foro, comunidad), la barrera de entrada es baja.
¿Qué información puede robarse?
El impacto de confidencialidad es C:H (High). Con una explotación exitosa, un atacante puede extraer:
- Emails y nombres de todos los usuarios registrados
- Hashes de contraseñas (MD5 en WordPress por defecto, crackeables offline)
- Contenido de posts privados o borradores no publicados
- Configuración del sitio almacenada en
wp_options(claves de API, tokens, configuración de plugins) - Metadata de usuarios: roles, datos de perfil, historial de pedidos en WooCommerce
No hay impacto a integridad ni a disponibilidad en el vector declarado. El sitio sigue funcionando, los datos no se modifican por la explotación en sí. Pero con los datos extraídos, las consecuencias secundarias pueden ser graves: robo de identidad, acceso a otras plataformas donde los usuarios repiten contraseñas, o venta de la base de datos.
Cómo detectar y verificar la vulnerabilidad
Cuatro pasos, en orden:
Paso 1: Verificar si tenés el plugin instalado
En el panel de WordPress, andá a Plugins → Plugins instalados y buscá «CMS für Motorrad Werkstätten» o «cms-fuer-motorrad-werkstaetten». Si no aparece, no hay nada que hacer acá. Complementá con mejores plugins de seguridad disponibles.
Paso 2: Revisar la versión
Si el plugin aparece en la lista, fijate qué versión tenés. La versión vulnerable es la 1.0.0. Al momento de publicar este artículo, no hay confirmación de una versión parcheada disponible — si el plugin sigue en 1.0.0, seguís expuesto.
Paso 3: Auditar usuarios con nivel subscriber o superior
Andá a Usuarios → Todos los usuarios y filtrá por rol. Cualquier cuenta subscriber activa es un vector potencial. Si tenés cuentas viejas o de test, este es el momento de limpiarlas.
Paso 4: Escáner automatizado
Wordfence tiene esta vulnerabilidad en su base de datos. Con el plugin Wordfence activo, un scan completo del sitio debería detectarla. WPScan también la identifica si tenés acceso a su API con una clave actualizada.
Pasos para protegerse inmediatamente
Las opciones van de más a menos disruptivas, dependiendo de si el plugin es crítico para tu operación:
Opción A (ideal): actualizar a una versión parcheada. Si el desarrollador publicó una versión > 1.0.0, actualizá ahora. Verificá en el repositorio de WordPress.org o directamente desde el panel de WordPress en Plugins → Actualizaciones disponibles.
Opción B (recomendable si no usás el plugin): desactivar y eliminar. Un plugin que no usás activamente no debería estar instalado. Desactivarlo no alcanza — los archivos siguen presentes. Hay que eliminarlo. Más contexto en parches críticos de seguridad recientes.
Opción C (mitigación temporal): restringir el registro de usuarios. En Ajustes → General, desactivá «Cualquiera puede registrarse» si no necesitás que usuarios externos se creen cuentas. Esto no corrige la vuln, pero reduce la superficie de ataque.
Opción D (capa adicional): WAF con reglas de SQL injection. Un Web Application Firewall (Wordfence en modo extended, Cloudflare WAF, o similar) puede bloquear el patrón de explotación de este tipo de inyección antes de que llegue al código del plugin. No es una solución definitiva (los WAF se pueden bypassear), pero agrega fricción. Si tu sitio está en un hosting con panel de control decente como el que ofrece donweb.com, revisá si tienen WAF activable a nivel servidor.
Respuesta del desarrollador y timeline
La vulnerabilidad fue publicada por INCIBE-CERT en 2026. La entrada en CIRCL.lu confirma el CVE asignado y el vector de ataque. Wordfence la documentó en su base de inteligencia de amenazas con análisis técnico del parámetro afectado.
¿Hay parche disponible? Al cierre de este artículo, la versión 1.0.0 sigue siendo la única en el repositorio oficial. El desarrollador no publicó una versión corregida en WordPress.org. Esto pone al plugin en una situación complicada: si no hay actualización, la recomendación de Wordfence y de la comunidad de seguridad es directamente desinstalarlo.
El proceso de coordinated disclosure aparentemente se completó (el CVE está publicado y es público), pero sin un parche del otro lado, la divulgación completa deja a los usuarios sin opción técnica más allá de remover el plugin.
Errores comunes al manejar este tipo de vulnerabilidad
Error 1: desactivar el plugin y creer que alcanza. Un plugin desactivado en WordPress sigue teniendo sus archivos en el servidor. Algunos atacantes pueden acceder directamente a los archivos PHP bajo ciertas configuraciones. La única forma segura es eliminar el plugin completamente desde el panel. Cobertura relacionada: vulnerabilidades críticas en sistemas.
Esto está conectado con el CVE-2026-6674, un XSS que también afectó WordPress gravemente.
Podés profundizar en CVE-2026-6674 en nuestro artículo dedicado al tema.
Error 2: asumir que «nadie conoce este plugin» es protección. La «seguridad por oscuridad» no funciona. Una vez que el CVE es público (como es el caso), los escáneres automatizados buscan el fingerprint del plugin sin importar cuán nicho sea. La oscuridad no es defensa.
Error 3: ignorar la vuln porque «solo afecta a subscribers». Muchos sitios WordPress tienen suscriptores registrados que no son de confianza: clientes de WooCommerce, usuarios de foros, leads de formularios que crearon cuenta. Revisar quién tiene nivel subscriber es parte del análisis, no una razón para cerrar el ticket. Te puede servir nuestra cobertura de capas adicionales de protección perimetral.
Preguntas Frecuentes
¿Qué es el CVE-2026-6674 y cómo afecta a WordPress?
El CVE-2026-6674 es una vulnerabilidad de inyección SQL en el plugin «CMS für Motorrad Werkstätten» para WordPress, versiones hasta 1.0.0. Permite que un usuario autenticado con nivel subscriber extraiga datos sensibles de la base de datos del sitio explotando el parámetro arttype sin sanitizar. La puntuación CVSS v3.1 es 6.5 con impacto alto a confidencialidad.
¿Cómo sé si mi sitio WordPress es vulnerable a esta inyección SQL?
Verificá en el panel de WordPress si tenés instalado el plugin «CMS für Motorrad Werkstätten» en versión 1.0.0 o anterior. Si lo tenés, el sitio es vulnerable. Podés confirmarlo también con un scan de Wordfence o WPScan usando sus bases de datos de vulnerabilidades actualizadas a 2026.
¿Necesito actualizar el plugin CMS für Motorrad Werkstätten?
Si hay una versión mayor a 1.0.0 disponible, actualizá de inmediato. Si el plugin sigue en 1.0.0 sin parche publicado, la recomendación es desinstalarlo completamente (no solo desactivarlo). Un plugin sin mantenimiento activo y con vulnerabilidad conocida es un riesgo que no conviene mantener en producción.
¿Qué datos puede robar un atacante usando esta vulnerabilidad?
Con una explotación exitosa, puede extraer cualquier tabla de la base de datos de WordPress: emails, hashes de contraseñas, contenido privado, claves de API almacenadas en wp_options, y datos de usuarios. El ataque no modifica ni elimina datos, pero la información extraída puede usarse para ataques posteriores.
¿Un WAF protege contra el CVE-2026-6674?
Un WAF con reglas de SQL injection activas puede bloquear los patrones de explotación más comunes y agrega una capa de protección útil. Wordfence en modo premium tiene esta vulnerabilidad en su firewall. Dicho esto, un WAF no reemplaza el parche o la desinstalación del plugin: es una mitigación, no una solución definitiva.
Conclusión
El CVE-2026-6674 no es el fin del mundo, pero tampoco es algo para dejar en la lista de pendientes. Un plugin nicho con una SQL injection autenticada, sin parche disponible al momento de publicación, y con potencial de exposición de toda la base de datos de un WordPress no es un riesgo menor.
Si tenés el plugin instalado y lo usás: buscá si hay actualización disponible ahora mismo y aplicala. Si lo tenés instalado y no lo usás: eliminalo, que no hace falta que siga ocupando espacio en tu servidor. Si no lo tenés, igual es buen momento para revisar qué otros plugins de nicho y sin mantenimiento tenés activos.
La regla general sigue siendo la misma: cada plugin instalado es superficie de ataque. Los CVEs de plugins poco conocidos son exactamente los que pasan debajo del radar y terminan siendo el vector de entrada en compromisos reales.