CVE-2026-7567: vulnerabilidad en Temporary Login — análisis completo y protección
Falla crítica de seguridad en el plugin Temporary Login para WordPress. Gravedad: Crítico (CVSS 9.8). Publicado 2026-05-01. Desglose técnico completo, quién está en riesgo y pasos exactos de mitigación.
TL;DR — lo esencial
Existe una vulnerabilidad crítica en el plugin Temporary Login para WordPress, que afecta a las versiones 1.0.0 y anteriores. Esta falla permite a un atacante no autenticado iniciar sesión en su sitio como cualquier usuario con una cuenta temporal activa, sin necesidad de una contraseña o un token válido. Debido a la gravedad (CVSS 9.8), debe actualizar el plugin de inmediato para proteger su sitio de una posible toma de control.
Análisis técnico
GuardLabs ha analizado la CVE-2026-7567, una vulnerabilidad crítica de Omisión de Autenticación en el plugin Temporary Login para WordPress. La vulnerabilidad tiene una calificación de 9.8 (Crítica) en la escala CVSS y afecta a todas las versiones hasta la 1.0.0 inclusive. Permite a un atacante no autenticado obtener acceso a una cuenta creada por el plugin enviando una única solicitud web especialmente diseñada. Esto elude la función principal del plugin de proporcionar acceso temporal seguro y basado en tokens.
La causa raíz es una validación de entrada incorrecta dentro de la función maybe_login_temporary_user(). La función espera que el parámetro GET temp-login-token sea una cadena escalar. Sin embargo, no logra forzar este tipo. Un atacante puede proporcionar el parámetro como un array (por ejemplo, ?temp-login-token[]=). Debido a una peculiaridad en el manejo de tipos de PHP, una comprobación empty() en un array que contiene una cadena vacía se evalúa como falsa, omitiendo un paso de validación inicial. Posteriormente, el array se pasa a la función sanitize_key(), que, cuando se le da un array, devuelve una cadena vacía.
Esta cadena vacía se utiliza luego como meta_value en una consulta de base de datos get_users(), que está diseñada para encontrar el usuario asociado con el token. La consulta busca usuarios con la meta_key de _temporary_login_token. Crucialmente, cuando la clase subyacente de WordPress WP_User_Query recibe una cadena vacía para meta_value, ignora esta condición y devuelve todos los usuarios que coinciden con la meta_key. Como resultado, la consulta devuelve una lista de todos los usuarios con un inicio de sesión temporal activo. La función luego procede a iniciar sesión para el atacante como el primer usuario de esta lista, otorgándole acceso completo a la cuenta y los privilegios de ese usuario sin requerir ninguna credencial válida.
Quién está en riesgo
Cualquier sitio de WordPress que utilice el plugin Temporary Login, en sus versiones 1.0.0 y anteriores, está en riesgo. Este plugin es comúnmente utilizado por los administradores de sitios para proporcionar acceso temporal y revocable a terceros, como desarrolladores, diseñadores o técnicos de soporte. Es una herramienta popular para la resolución de problemas, el mantenimiento y el desarrollo colaborativo sin crear cuentas de usuario permanentes ni compartir las credenciales principales del administrador.
El riesgo es mayor para los sitios que tienen al menos una cuenta de inicio de sesión temporal activa. Si no hay cuentas temporales activas en ese momento, el exploit fallará ya que la consulta a la base de datos no devolverá ningún usuario. Sin embargo, dado el propósito del plugin, se utiliza con frecuencia en entornos de desarrollo, de pruebas y de producción donde la colaboración externa es común. Si una cuenta temporal tiene privilegios de alto nivel, como 'Administrador', un atacante podría usar esta vulnerabilidad para obtener el control total sobre el sitio de WordPress afectado.
🔍 Verifica tu sitio en 60 segundos
Auditoría instantánea gratuita — escaneamos este CVE y más de 50 vulnerabilidades, sin registro.
Ejecutar auditoría gratis Escáner automático 24/7Cómo mitigar
Debido a la naturaleza crítica de esta vulnerabilidad, se requiere una acción inmediata. Siga estos pasos para proteger su sitio web:
- Actualice de inmediato: El paso más importante es actualizar el plugin Temporary Login a la última versión parcheada. El autor del plugin ha lanzado una corrección que soluciona la falla de validación de entrada. Navegue a su panel de WordPress, vaya a 'Plugins' y aplique la actualización para el plugin Temporary Login.
- Haga una copia de seguridad de su sitio: Antes de realizar cualquier actualización o cambio, siempre cree una copia de seguridad completa de sus archivos y base de datos de WordPress. Esto asegura que pueda restaurar su sitio a un estado funcional si surge algún problema durante el proceso de actualización.
- Medidas temporales si no puede actualizar: Si no puede actualizar el plugin de inmediato por cualquier motivo, debe desactivarlo y eliminarlo de su sitio para eliminar el código vulnerable. Como alternativa, un Firewall de Aplicaciones Web (WAF) puede proporcionar una capa de parcheo virtual. Se puede configurar una regla de WAF personalizada para bloquear cualquier solicitud donde el parámetro
temp-login-tokense envíe como un array (por ejemplo, bloqueando las solicitudes que contengantemp-login-token[en la cadena de consulta). - Detección automatizada de vulnerabilidades: Para prevenir problemas futuros, utilice una herramienta de seguridad para monitorear su sitio en busca de plugins y temas vulnerables. Servicios como GuardLabs Web-Audit Guardian, así como otros plugins de seguridad de buena reputación y escáneres externos, pueden detectar automáticamente software desactualizado y alertarle sobre vulnerabilidades conocidas, permitiéndole tomar medidas antes de que sean explotadas.
🛡️ GuardLabs Care — lo manejamos por ti
$240/año: hosting WordPress administrado + SSL + monitoreo 24/7 + actualizaciones automáticas de plugins con rollback + alertas de caída. Parchamos CVEs el mismo día.
Ver planes CarePreguntas frecuentes
Un atacante puede iniciar sesión como cualquier usuario que tenga un inicio de sesión temporal activo, sin necesidad de una contraseña o token. Esto podría otorgarle acceso administrativo si el usuario temporal es un administrador.
En su panel de WordPress, vaya a 'Plugins' -> 'Plugins instalados'. Si ve 'Temporary Login' listado con un número de versión 1.0.0 o inferior, su sitio es vulnerable y debe actualizarlo.
Si no hay inicios de sesión temporales activos, el exploit no encontrará un usuario con el que iniciar sesión. Sin embargo, el código vulnerable todavía está presente, y su sitio se volvería inmediatamente vulnerable en el momento en que se cree un nuevo inicio de sesión temporal.
La acción más segura es navegar a la página de plugins de su WordPress, y luego 'Desactivar' y 'Eliminar' el plugin Temporary Login hasta que pueda instalar una versión parcheada.
Un WAF configurado correctamente puede bloquear el patrón de exploit específico, proporcionando una capa de protección. Sin embargo, actualizar el plugin es la única solución garantizada y permanente para corregir la vulnerabilidad subyacente.
Cronología de divulgación
- 2026-05-01Publicado en NVD
- 2026-05-03Análisis GuardLabs