Se ha descubierto una vulnerabilidad crítica tipo puerta trasera en el plugin LA-Studio Element Kit para Elementor, afectando a más de 20,000 sitios activos de WordPress. Esta falla permite a atacantes crear cuentas administrativas sin necesidad de autenticación previa, comprometiendo la integridad, confidencialidad y disponibilidad de los sitios afectados. El exploit se realiza mediante un parámetro oculto en el proceso de registro de usuarios, lo que facilita la escalada de privilegios y el control total del sistema.
CVE y severidad
| CVE ID | Puntaje CVSS | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-0920 | 9.8 (Crítica) | Crítica | LA-Studio Element Kit para Elementor – sistema de registro de usuarios |
Productos afectados
El plugin LA-Studio Element Kit para Elementor en todas sus versiones hasta la 1.5.6.3 inclusive está afectado por esta vulnerabilidad.
Solución
Actualizar a la versión 1.6.0 o superior del plugin LA-Studio Element Kit para Elementor.
Recomendaciones
Se recomienda aplicar la actualización lo antes posible para mitigar el riesgo de compromiso total del sitio; además, validar usuarios administrativos existentes y revisar logs para detectar actividades sospechosas previas a la actualización.