Escalación de privilegios en el plugin de correo mágico de inicio de sesión / código QR (<= 2.05): qué sucedió, por qué es peligroso y cómo proteger sus sitios de WordPress

Publicado: 15 de febrero de 2026  |  CVE: CVE-2026-2144 — Severidad: Alta (CVSS 8.1)  |  Autor: Experto en Seguridad de Hong Kong

Resumen

• Se divulgó una vulnerabilidad de alta severidad en el plugin de WordPress “Correo mágico de inicio de sesión o código QR” (versiones <= 2.05).
• Clasificación: Escalación de privilegios no autenticada a través del almacenamiento inseguro de archivos de código QR.
• Impacto: Un atacante no autenticado puede obtener o reutilizar artefactos de inicio de sesión basados en código QR almacenados en ubicaciones accesibles por la web, lo que permite la suplantación o escalación de privilegios y potencialmente la compromisión total del sitio.
• No había una versión oficial corregida disponible en el momento de la publicación. Este artículo explica el problema a un alto nivel, enumera mitigaciones inmediatas seguras y ofrece orientación a largo plazo para desarrolladores y propietarios de sitios.

Tabla de contenido

• ¿Cuál es el problema?
• ¿Por qué es grave esta vulnerabilidad?
• Flujo de ataque típico (alto nivel)
• Qué buscar: detección e indicadores de compromiso
• Mitigaciones inmediatas que puede aplicar (paso a paso, seguras)
• Recomendaciones de endurecimiento para propietarios de sitios y proveedores de alojamiento
• Orientación de diseño seguro para desarrolladores de plugins
• Ejemplo de reglas del servidor para proteger archivos QR (Apache/Nginx)
• Cómo los WAF gestionados y los parches virtuales pueden ayudar (genérico)
• Lista de verificación priorizada — qué hacer ahora
• Notas de cierre

¿Cuál es el problema?

El plugin proporciona funcionalidad de “inicio de sesión mágico” — enviando enlaces de inicio de sesión y/o códigos QR que permiten a los usuarios iniciar sesión sin una contraseña. Para generar códigos QR, el plugin crea un artefacto (archivo) que representa el enlace o token de inicio de sesión de un solo uso. La vulnerabilidad proviene de que esos archivos se almacenan en una ubicación accesible por la web con nombres predecibles y sin controles de acceso suficientes o aplicación del ciclo de vida.

En resumen: un atacante que descubre o adivina la URL de una imagen QR almacenada (u otro artefacto) puede extraer el enlace o token de inicio de sesión mágico incrustado y usarlo para autenticarse como el usuario previsto. Si ese usuario tiene privilegios elevados (autor, editor, administrador), el atacante puede escalar de no autenticado a altos privilegios y potencialmente tomar el control total del sitio.

Este es un fallo de identificación/autenticación: el sistema depende únicamente del secreto de un archivo en el directorio público y carece de controles de acceso, gestión adecuada del ciclo de vida del token y almacenamiento no enumerables e impredecibles.

¿Por qué es grave esta vulnerabilidad?

• No autenticado: No se requiere inicio de sesión previo ni privilegios para intentar la explotación.
• Escalación de privilegios: Los tokens de inicio de sesión mágicos se asignan a cuentas de usuario; la exposición de un token para un usuario de alto privilegio otorga sus capacidades a un atacante.
• Baja fricción para los atacantes: Los directorios de cargas públicas con nombres de archivos predecibles son triviales de escanear y automatizar.
• Sin solución del proveedor en la divulgación: Los propietarios del sitio deben mitigar hasta que esté disponible un parche oficial.
• Riesgo en cadena: Las cuentas comprometidas pueden ser utilizadas para instalar puertas traseras, crear usuarios administradores, exfiltrar datos o pivotar a otros sistemas.

La puntuación CVSS 3.1 de 8.1 refleja la accesibilidad de la red, sin privilegios requeridos y un alto impacto en la confidencialidad, integridad y disponibilidad.

Flujo de ataque típico (a alto nivel, no explotativo)

Pasos delineados que un atacante podría seguir — mantenidos a alto nivel para que los defensores puedan responder sin exponer detalles de explotación:

1. Reconocimiento: identificar el sitio de WordPress objetivo y enumerar los plugins instalados a través de páginas públicas, URLs de plugins conocidos o huellas digitales automatizadas. Confirmar la presencia del plugin Magic Login.
2. Descubrimiento de artefactos: enumerar rutas de carga comunes (por ejemplo, /wp-content/uploads/magic-login/, /wp-content/uploads/magic_login/, o directorios con “qr”/“magic”) buscando imágenes QR o nombres de archivos predecibles.
3. Extraer y reutilizar: extraer la URL de inicio de sesión o el token incrustado de la imagen QR/nombre de archivo y usarlo para autenticarse como el usuario objetivo.
4. Post-compromiso: para cuentas de alto privilegio, el atacante puede instalar plugins/temas maliciosos, crear usuarios administradores, exfiltrar datos o persistir a través de puertas traseras o tareas programadas.

El ataque es fácil de automatizar y puede ejecutarse en masa, dándole un fuerte potencial similar a un gusano cuando se utiliza a gran escala.

Qué buscar: detección e indicadores de compromiso (IoCs)

Escanea tu sitio en busca de estos signos de inmediato:

1. Artefactos de plugins y archivos: busca directorios bajo uploads que contengan imágenes QR o artefactos de inicio de sesión mágico. Las ubicaciones comunes incluyen:
   • /wp-content/uploads/magic-login/
   • /wp-content/uploads/magic_login/
   • /wp-content/uploads/*qr* o /wp-content/uploads/*magic*

   Tipos de archivos: .png, .svg, .jpg. Inspecciona los nombres de archivo en busca de tokens incrustados o patrones predecibles.

2. Registros del servidor — solicitudes GET sospechosas: muchas solicitudes GET a rutas de carga desde IPs desconocidas, especialmente patrones de acceso a nombres de archivo secuenciales o solicitudes frecuentes de imágenes estáticas que parecen recolección de tokens.
3. Registros de autenticación: inicios de sesión inusuales por usuarios que normalmente no acceden al sitio en esos momentos, o inicios de sesión a través de puntos finales de enlace de un solo uso.
4. Cambios en usuarios y capacidades: cuentas de administrador recién creadas, escalaciones de privilegios o cambios inesperados de correo electrónico en cuentas de administrador.
5. Archivos inesperados o puertas traseras: nuevos archivos PHP en uploads, archivos de plugins/temas modificados, o trabajos programados. Busca cargas útiles codificadas en base64 u ofuscadas.
6. Conexiones salientes: conexiones inesperadas desde el servidor web a IPs o dominios desconocidos (posible tráfico de comando y control).

Si alguno de estos está presente, sigue los procedimientos de respuesta a incidentes de inmediato (ver mitigaciones inmediatas).

Mitigaciones inmediatas que puedes aplicar (seguras, priorizadas)

Aplica estos en orden: comienza con los pasos de mayor impacto y menor riesgo.

1. Desactive el plugin: La acción más simple y segura es desactivar el plugin Magic Login en los sitios de producción. Esto evita que se creen nuevos artefactos QR y detiene el abuso adicional.
2. Bloquea el acceso web directo al directorio de archivos QR: Si la desactivación no es posible por razones comerciales, bloquea el acceso directo al directorio donde el plugin almacena los artefactos QR utilizando reglas del servidor (ejemplos a continuación). Esto evita la recuperación externa mientras deja el código del plugin instalado.
3. Rota/expira los tokens pendientes y elimina los artefactos almacenados: Elimina los archivos almacenados de uploads, o muévelos a una ubicación no accesible por la web. Si el plugin proporciona controles de revocación, úsalos. Si no, rota los factores de autenticación como se describe a continuación.
4. Fuerza restablecimientos de contraseña para usuarios privilegiados y rota las sales/claves de WP: Requiere que los usuarios administradores restablezcan sus contraseñas. Rota las sales/claves de autenticación en wp-config.php (AUTH_KEY, SECURE_AUTH_KEY, etc.) — ten en cuenta que esto invalida las sesiones y requiere una reautenticación coordinada.
5. Audita a los usuarios y los registros de autenticación: Elimina usuarios desconocidos, degrada cuentas sospechosas y revisa las marcas de tiempo de inicio de sesión recientes y las IPs de los usuarios administradores.
6. Endurece los permisos de archivos y directorios: Asegúrate de que los directorios uploads/ y del plugin sean propiedad del usuario del servidor web y que los permisos sean restrictivos (por ejemplo, 755 para directorios, 644 para archivos). Evita configuraciones que permitan escritura mundial.
7. Escaneo completo del sitio web y captura forense: Ejecuta escáneres de malware, toma instantáneas de archivos/base de datos para análisis posterior y preserva registros para la investigación.
8. Si se sospecha de compromiso, aísla y recupera: Toma el sitio fuera de línea o aíslalo, restaura desde una copia de seguridad conocida y limpia, y aplica los pasos anteriores.
9. Registro y monitoreo: Habilita o mejora el registro de acceso, observa las solicitudes GET repetidas a las rutas de carga y monitorea la actividad sospechosa.

Notas: eliminar archivos por sí solo es insuficiente si un atacante ya utilizó un token para obtener acceso de administrador: debes verificar cuentas, registros y auditar la persistencia.

Recomendaciones de endurecimiento para propietarios de sitios y proveedores de alojamiento

Endurecimiento a corto plazo que puedes implementar en todo el sitio:

• Aplica el principio de menor privilegio en los roles de usuario: limita las cuentas de administrador y úsalas con moderación.
• Desactive o limite los complementos que almacenan tokens de autenticación en ubicaciones públicas.
• Implemente reglas WAF genéricas o protecciones del lado del servidor para bloquear patrones de escaneo automatizado y enumeración de tokens.
• Requiera MFA para todas las cuentas privilegiadas para reducir el impacto si los tokens se exponen.
• Mantenga PHP, el núcleo de WordPress y los complementos/temas actualizados; elimine componentes no utilizados.
• Mantenga copias de seguridad regulares y probadas almacenadas fuera de línea y fuera del sitio.

Recomendaciones del proveedor de alojamiento

• Implemente controles de acceso a nivel de host para restringir la entrega directa de archivos para artefactos privados.
• Ofrezca almacenamiento privado (fuera de la raíz web) para archivos sensibles generados.
• Proporcione acceso basado en roles a nivel de inquilino y registro de actividades para administradores.

Guía de diseño segura para desarrolladores de complementos (no sea el próximo titular)

Esta vulnerabilidad es un ejemplo de diseño inseguro: almacenar secretos de autenticación en ubicaciones accesibles por la web y confiar en la oscuridad. Si desarrolla funciones de “enlace mágico” o inicio de sesión QR, siga estas reglas de diseño:

1. Nunca exponga tokens de autenticación en nombres de archivos públicos o archivos estáticos: evite incrustar tokens en bruto en nombres de archivos o cargas QR. Si se requiere una imagen, incluya solo un identificador del lado del servidor que requiera validación.
2. Almacene tokens de forma segura: use almacenamiento del lado del servidor (base de datos) con aleatoriedad fuerte, metadatos asociados (caducidad, id de usuario, conteo de uso, restricciones de IP) y almacene tokens hash donde sea apropiado.
3. Haga cumplir controles del ciclo de vida del token: ventanas de caducidad cortas (minutos), tokens de un solo uso y limitación de tasa en intentos de validación.
4. Requiera verificaciones de capacidad para operaciones que cambian privilegios: siempre verifique el origen de la solicitud y la validez del token antes de cambiar roles o capacidades; use las verificaciones de capacidad de WordPress (current_user_can) correctamente.
5. Haga que los artefactos no sean enumerables y estén fuera de la raíz web: renderizar imágenes bajo demanda detrás de puntos finales autenticados o almacenar artefactos fuera del directorio web y servir a través de scripts controlados que hagan cumplir la autorización.
6. Registro y alertas: registrar la emisión de tokens, intentos de validación, validaciones fallidas y intentos de reutilización; alertar a los propietarios del sitio sobre actividades sospechosas.
7. Validación y saneamiento de entradas: validar los parámetros utilizados para buscar archivos de tokens o filas de DB; no mapear la entrada del usuario directamente a rutas de archivos.
8. Seguridad por defecto: la configuración predeterminada debe ser segura — requerir una decisión explícita del administrador para habilitar cualquier comportamiento arriesgado y proporcionar controles para purgar tokens pendientes.

Ejemplo de reglas del servidor para proteger archivos QR

Si el plugin almacena archivos en un subdirectorio de uploads y no puedes desactivarlo de inmediato, agrega reglas restrictivas del servidor. Estos ejemplos bloquean el acceso público a un directorio llamado magic-login-qr (ajusta a tu ruta).

Apache (.htaccess colocado en el directorio que contiene archivos de imagen QR — por ejemplo, /wp-content/uploads/magic-login-qr/.htaccess)

# Bloquear todo el acceso HTTP a este directorio

Nginx (agregar a la configuración del sitio)

location ~* /wp-content/uploads/magic-login-qr/ {

Importante: las reglas de denegación detendrán la funcionalidad legítima de magic-login; trata estas como mitigaciones temporales y coordina con las partes interesadas antes de aplicar.

Cómo los WAF gestionados y los parches virtuales pueden ayudar (genérico)

Un Firewall de Aplicaciones Web (WAF) gestionado puede proporcionar protección en capas mientras implementas soluciones permanentes:

• Parcheo virtual: Las reglas de WAF pueden bloquear solicitudes que coincidan con patrones de explotación (intentos de enumeración, GETs repetidos a rutas de archivos QR, formatos de token conocidos).
• Limitación de tasa y mitigación de bots: reducir la efectividad del escaneo masivo y ralentizar a los atacantes.
• Detección de firmas de ataque: detectar herramientas de explotación automatizadas y bloquear IPs o patrones sospechosos.
• Reglas centralizadas: para administradores que gestionan muchos sitios, un WAF centralizado puede aplicar mitigaciones en múltiples instalaciones rápidamente.

Nota: Los WAF son una solución temporal y no un sustituto para arreglar la causa raíz en el código del plugin. Úselos solo para ganar tiempo mientras se produce un parche seguro.

Una breve nota sobre la divulgación responsable

Las vulnerabilidades deben ser reportadas de forma privada al autor del plugin con un tiempo razonable para una solución antes del lanzamiento público. Los propietarios de sitios deben monitorear los avisos de los proveedores y aplicar parches oficiales tan pronto como estén disponibles. Dada la gravedad de este problema, puede ser necesario un aviso público para proteger los sitios de una explotación rápida.

Lista de verificación de recuperación segura — priorizada (qué hacer ahora)

1. Desactive el plugin Magic Login Mail/QR en todos los sitios de producción. (Alta prioridad)
2. Bloquee el acceso a los directorios de carga de plugins a través de reglas del servidor web si la desactivación no es posible. (Mitigación rápida)
3. Elimine o mueva todos los artefactos QR de los directorios de carga públicos. (Mitiga tokens expuestos)
4. Obligue a restablecer contraseñas para todos los usuarios privilegiados y rote las sales de wp-config. (Mitiga sesiones/tokens robados)
5. Audite usuarios y registros de inicio de sesión; elimine cuentas de administrador desconocidas. (Detectar compromiso)
6. Escanee el sitio en busca de puertas traseras y archivos sospechosos; restaure desde una copia de seguridad limpia si se detecta compromiso. (Recuperación)
7. Aplique reglas de WAF para bloquear patrones de enumeración y abuso de tokens donde sea posible. (Prevenir escaneo)
8. Monitoree los registros y vuelva a escanear después de una semana. (Asegurar remediación)

Notas de cierre — pensamiento a largo plazo y próximos pasos

Esta vulnerabilidad destaca un error común: los mecanismos de autenticación que dependen de la “secrecía por ubicación de almacenamiento” son frágiles. Los flujos de trabajo de enlace mágico y QR pueden ser convenientes, pero deben ser diseñados teniendo en cuenta el ciclo de vida del token, el almacenamiento y los controles de acceso.

Para los propietarios de sitios, las tres acciones más impactantes hoy son:

1. Eliminar o bloquear el acceso público a cualquier artefacto de autenticación almacenado.
2. Obligar a restablecer cuentas de alto privilegio y rotar claves/sales de autenticación.
3. Aplicar protecciones a nivel de servidor y reglas de WAF para ganar tiempo hasta que esté disponible una solución permanente para el plugin.

Si opera múltiples sitios de WordPress, automatice el escaneo del plugin vulnerable y la presencia de artefactos QR en los directorios de carga. Si desarrolla plugins de autenticación, nunca almacene tokens sensibles en archivos accesibles por la web; almacénelos del lado del servidor, valide a través de puntos finales autenticados, expire tokens rápidamente y registre eventos de tokens.

Estamos monitoreando esta divulgación de cerca. Si necesita ayuda para evaluar la exposición en varios sitios, crear reglas temporales de servidor o fortalecer su infraestructura, comuníquese con su equipo de seguridad, proveedor de alojamiento o un consultor de seguridad local de confianza para obtener apoyo.

Apéndice: comandos y búsquedas rápidas (defensivas)

Úselos para el reconocimiento inicial en sus propias instalaciones.

# Encontrar archivos QR probables

# Buscar en los registros del servidor web acceso a rutas de carga (ejemplo de Apache / Nginx)

# Verificar nuevos usuarios administradores a través de WP-CLI

Rota las sales en wp-config.php generando nuevas claves en https://api.wordpress.org/secret-key/1.1/salt/ — esto invalidará las sesiones activas y forzará la reautenticación.

Manténgase alerta. Priorice la protección de cuentas privilegiadas y tome medidas inmediatas.

— Experto en Seguridad de Hong Kong