Asegurando el Gestor de Fuentes de WordPress contra Inyección SQL//Publicado el 2026-03-23//CVE-2026-1800

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Fonts Manager Custom Fonts CVE-2026-1800

Nombre del complemento Gestor de Fuentes | Fuentes Personalizadas
Tipo de vulnerabilidad Inyección SQL
Número CVE CVE-2026-1800
Urgencia Alto
Fecha de publicación de CVE 2026-03-23
URL de origen CVE-2026-1800

Urgente: Inyección SQL en “Gestor de Fuentes | Fuentes Personalizadas” (<= 1.2) — Lo que los propietarios de sitios de WordPress deben hacer ahora

Publicado: 23 de marzo de 2026
Gravedad: Alto — CVSS 9.3 (CVE-2026-1800)
Versiones afectadas: versiones del plugin <= 1.2
Privilegio requerido: No autenticado (cualquier visitante)

Como un equipo de seguridad de WordPress que opera un Firewall de Aplicaciones Web (WAF) profesional y un servicio de respuesta a incidentes, en WP‑Firewall estamos emitiendo un aviso detallado y práctico para propietarios y administradores de sitios. Se ha divulgado una vulnerabilidad de inyección SQL de alta gravedad en el plugin Gestor de Fuentes | Fuentes Personalizadas (versiones hasta e incluyendo 1.2). La vulnerabilidad puede ser activada por solicitudes no autenticadas a través del fmcfIdSelectedFnt parámetro y permite a los atacantes interactuar directamente con la base de datos.

Esta publicación explica lo que significa esta vulnerabilidad, cómo puede ser detectada, pasos prácticos para mitigar y remediar, qué hacer si sospechas de un compromiso, y cómo WP‑Firewall protege tu sitio — incluyendo un plan Básico sin costo que puedes habilitar de inmediato.

Resumen ejecutivo (lo que necesitas saber ahora mismo)

  • El plugin contiene un vector de inyección SQL no autenticado a través del parámetro HTTP fmcfIdSelectedFnt.
  • Un atacante no autenticado puede inyectar SQL en una consulta que interactúa con la base de datos de WordPress.
  • El impacto incluye divulgación de datos, modificación de datos, compromiso de cuentas de usuario y toma de control total del sitio dependiendo de otras configuraciones del sitio.
  • No hay un parche proporcionado por el proveedor disponible en el momento de la publicación para versiones <= 1.2. Se requiere mitigación inmediata.
  • Si ejecutas este plugin: elimínalo, desactívalo o aplica parches virtuales (regla WAF) hasta que un parche oficial esté disponible.
  • Los usuarios de WP‑Firewall pueden habilitar una regla de mitigación de inmediato para bloquear intentos de explotación mientras decides sobre la remediación.

¿Qué es esta vulnerabilidad? Resumen técnico

Esta vulnerabilidad es una inyección SQL (SQLi) que puede ser explotada sin autenticación. La entrada vulnerable es un parámetro llamado fmcfIdSelectedFnt que es procesado por el plugin e incorporado en una declaración SQL sin una validación de entrada o parametrización adecuada.

Por qué esto es importante:

  • La inyección SQL permite a los atacantes manipular el motor de consultas de la base de datos. Dependiendo del contexto de la consulta, los atacantes pueden ser capaces de leer filas arbitrarias de la base de datos, modificar o eliminar datos, crear cuentas administrativas o ejecutar acciones que lleven a un compromiso total del sitio.
  • No autenticado significa que el atacante no necesita ser un usuario de WordPress conectado: puede ser un nuevo visitante de internet.
  • La puntuación CVSS descrita de 9.3 refleja la criticidad de SQLi no autenticado en aplicaciones web.

Notas técnicas (nivel alto):

  • La superficie de ataque es un parámetro HTTP pasado a un punto final de plugin (GET o POST).
  • El plugin no logra sanitizar ni usar consultas parametrizadas para el valor proporcionado.
  • Una entrada maliciosa puede alterar la lógica de la consulta SQL prevista.

Intencionalmente evitamos compartir cargas útiles de explotación o cadenas de consulta en este aviso porque pueden ser utilizadas para automatización maliciosa. El enfoque a continuación es sobre detección, mitigación y manejo seguro.

Cómo un atacante puede explotarlo: escenarios de ataque realistas

Comprender los escenarios de ataque ayuda a priorizar la respuesta:

  1. Robo de datos a gran escala
    • Los atacantes pueden leer el contenido de wp_usuarios, wp_usermeta, o tablas personalizadas dependiendo del contexto de la consulta.
    • Los hashes de usuario robados pueden ser forzados sin conexión o utilizados para pivotar a otros sistemas donde se reutilizaron credenciales.
  2. Escalación de privilegios / creación de cuentas
    • En muchos casos de SQLi, los atacantes pueden inyectar datos para crear un nuevo registro de administrador en wp_usuarios, luego establecer las entradas meta necesarias en wp_usermeta. Eso lleva a la toma de control directa del sitio.
  3. Modificación del sitio / desfiguración / persistencia
    • SQLi puede ser utilizado para modificar opciones, insertar publicaciones maliciosas o alterar configuraciones de plugins/temas que a su vez pueden ser utilizados para instalar puertas traseras.
  4. Explotación masiva
    • Debido a que esto es no autenticado y un plugin común, los atacantes a menudo construyen escáneres automatizados que prueban muchos sitios de WordPress e intentan explotarlos en masa.

Dado lo anterior, trata cualquier sitio activo con el plugin como alta prioridad para mitigación inmediata.

Detección: qué buscar en los registros y el comportamiento

Si operas un stack de hosting o un producto de seguridad, observa los siguientes patrones. Estas son sugerencias de detección, no firmas de explotación.

  • Solicitudes inesperadas a los puntos finales del plugin donde fmcfIdSelectedFnt está presente:
    • Patrón de registro de ejemplo: solicitudes con el parámetro fmcfIdSelectedFnt que contiene caracteres inusuales (espacios, comillas, marcadores de comentario, palabras reservadas de SQL).
  • Respuestas 400/500 repetidas a la misma URL desde la misma IP remota o desde múltiples IPs de baja confianza (comportamiento de escaneo).
  • Solicitudes POST/GET rápidas con diferentes valores para fmcfIdSelectedFnt (intentos de sondeo).
  • Errores de base de datos en tus registros de PHP/WordPress que hacen referencia a errores de sintaxis SQL después de acceder a los puntos finales del plugin.
  • Usuarios administradores inesperados, nuevas publicaciones o cambios de opciones poco después de solicitudes sospechosas.
  • Conexiones salientes o tareas programadas que no creaste.

Huellas de registro de detección de muestra (saneadas, para coincidencia de patrones):

[access-log] 192.0.2.123 - - [23/Mar/2026:10:04:12 +0000] "GET /wp-admin/admin-ajax.php?action=fmcf_action&fmcfIdSelectedFnt=... HTTP/1.1" 200 512 "-" "Mozilla/5.0"

Establece alertas de monitoreo para:

  • Patrones de error que incluyan “sintaxis SQL” o “mysql_fetch” después de que se accedan a los puntos finales del plugin.
  • Eventos de creación de nuevos usuarios administrativos en wp_usuarios por cualquier actor no administrador o en horas inusuales.

Pasos inmediatos de mitigación (qué hacer en las próximas 1–2 horas)

  1. Identificar los sitios afectados
    • Usa la lista de plugins de WP admin o verificaciones del sistema de archivos para confirmar que el plugin está instalado y la versión ≤ 1.2.
    • Si tienes muchos sitios, ejecuta un inventario automatizado para localizar instancias del plugin.
  2. Si puedes, desconecta el sitio brevemente o ponlo en modo de mantenimiento.
    • Esto es opcional pero recomendado para sitios de alto tráfico o alto riesgo mientras actúas.
  3. Si hay una actualización disponible del autor del plugin, aplícala. NOTA: En el momento de la publicación, no hay una versión oficial parcheada disponible para las versiones vulnerables especificadas — no asumas que existe un parche. Verifica el registro de cambios del plugin y las comunicaciones del proveedor.
  4. Si no hay un parche disponible, desinstala o desactiva el plugin.
    • Desactiva desde el administrador de WP o elimina la carpeta del plugin a través de SFTP.
    • Si el plugin es necesario por razones comerciales y no se puede desactivar, aplica un parche virtual WAF (bloquea / sanitiza el parámetro vulnerable) — instrucciones a continuación.
  5. Aplica una regla WAF o un parche virtual para detener los intentos de explotación (recomendado si no puedes eliminar el plugin).
    • Bloquea cualquier solicitud externa que contenga caracteres meta SQL sospechosos en el fmcfIdSelectedFnt parámetro.
    • Bloquea solicitudes no autenticadas a los puntos finales específicos del plugin si esos puntos finales no deberían ser públicos de todos modos.
  6. Rota credenciales y revisa el acceso si sospechas de compromiso:
    • Restablece las contraseñas para administradores de WordPress, FTP/SFTP, cPanel y contraseñas de usuarios de base de datos si se sospecha de intrusión.
  7. Revisa tu sitio en busca de indicadores de compromiso (ver sección a continuación).

Mitigación WAF recomendada (parcheo virtual) — ejemplos y orientación

Si no puedes eliminar el plugin de inmediato, el parcheo virtual a través de un WAF es la forma más rápida de bloquear el tráfico de explotación. A continuación se presentan sugerencias seguras y no específicas de explotación que puedes implementar en la mayoría de las interfaces WAF o paneles de control de hosting. Estas son reglas conceptuales — la sintaxis exacta depende de tu WAF.

  1. Bloquea contenido de parámetros sospechosos
    • Denegar solicitudes donde fmcfIdSelectedFnt contiene caracteres comúnmente utilizados para inyección SQL (comilla simple, comilla doble, punto y coma, tokens de comentario, palabras clave SQL) y la solicitud no está autenticada.

    Pseudocódigo / lógica:

    • SI la solicitud contiene el parámetro fmcfIdSelectedFnt
    • Y el valor del parámetro coincide con el patrón regex: [\x27\x22;#/*\b(UNIÓN|SELECCIONAR|INSERTAR|ACTUALIZAR|ELIMINAR|ELIMINAR)\b] (sin distinción entre mayúsculas y minúsculas)
    • ENTONCES bloquea la solicitud (devuelve 403)

    Nota: Permitir valores numéricos legítimos o alfanuméricos seguros. Ajusta el patrón permitido a tu uso del plugin (si el plugin normalmente pasa un solo ID entero, permite solo dígitos).

  2. Restringe el acceso a los puntos finales del complemento
    • Si los puntos finales vulnerables están destinados solo para uso de administradores autenticados, restríngelos ya sea por:
      • Solo permitir el acceso desde sesiones de administrador autenticadas (verifica las cookies).
      • Limitar a rangos de IP permitidos (IPs internas de administrador).
      • Bloquear solicitudes GET o POST de clientes anónimos a esos puntos finales.
  3. Limitación de tasa y verificaciones de comportamiento
    • Limitar la tasa de acceso a los puntos finales del plugin para ralentizar el escaneo y los intentos de explotación automatizados.
    • Bloquear IPs con escaneos fallidos repetidos y patrones de solicitud agresivos.
  4. Bloquear solicitudes con cadenas de error de base de datos en la respuesta
    • Si detectas que un punto final a menudo devuelve texto de error SQL, usa tu WAF para interceptar y devolver una página de error genérica, evitando filtraciones.

Importante: Estas reglas son mitigaciones temporales y deben combinarse con la eliminación o actualización del plugin. El parcheo virtual reduce el riesgo pero no soluciona el problema subyacente del código.

Cómo verificar compromisos: indicadores, archivos y consultas

Si tu sitio recibió tráfico sospechoso antes o no estás seguro sobre un incidente, realiza una investigación enfocada:

  1. Verifica los registros de acceso y error
    • Buscar fmcfIdSelectedFnt solicitudes de IPs desconocidas.
    • Busca en los registros mensajes de error SQL y actividad POST sospechosa.
  2. Controlar wp_usuarios y wp_usermeta
    • Busca nuevos usuarios con rol de administrador que no reconozcas.
    • Inspeccionar último_login (si está almacenado), usuario_registrado marcas de tiempo.
  3. Escanear archivos modificados
    • Utilizar un verificador de integridad de archivos o Git diff (si su sitio está bajo control de versiones).
    • Buscar archivos PHP modificados recientemente en contenido wp, wp-includes, y directorios raíz.
  4. Busca en la base de datos contenido sospechoso
    • Controlar opciones_wp por opciones de autoload inesperadas o scripts inyectados en valores de opción como siteurl o inicio.
    • Inspeccionar publicaciones en busca de iframes ocultos, evaluar(), cadenas base64 o JavaScript ofuscado.
  5. Tareas programadas y cron
    • Listar ganchos cron activos de WordPress (wp_cron) y eventos programados para tareas desconocidas.
  6. Conexiones salientes
    • Verificar conexiones de red externas inusuales desde el servidor, lo que puede señalar exfiltración de datos o callbacks a hosts C2.

Si encuentra indicadores de compromiso, aísle el sitio de inmediato (desconéctelo) y proceda con un plan completo de contención y recuperación.

Lista de verificación de respuesta a incidentes (paso a paso)

  1. Aislar
    • Poner el(los) sitio(s) afectado(s) en modo de mantenimiento.
    • Revocar el acceso del atacante deshabilitando rutas de red si es necesario.
  2. Preservar las pruebas
    • Hacer una copia de seguridad de los registros, la base de datos y la instantánea del sistema de archivos para análisis forense.
    • No sobrescribir evidencia.
  3. Contener
    • Desactive o elimine el plugin vulnerable.
    • Aplicar reglas de WAF para bloquear el patrón de explotación.
  4. Erradicar
    • Eliminar shells web, usuarios administradores no autorizados y archivos maliciosos.
    • Restaurar archivos limpios de una copia de seguridad conocida si es necesario.
  5. Recuperar
    • Actualizar o reinstalar plugins/temas/núcleo.
    • Reemita credenciales y rote claves.
    • Endurecer el sitio (ver la lista de verificación de endurecimiento a continuación).
  6. Revisar y aprender
    • Realizar un análisis post-mortem para identificar cómo tuvo éxito el atacante y los pasos para mejorar las defensas.
    • Aplicar medidas a largo plazo: monitoreo continuo, copias de seguridad regulares y servicio de parcheo virtual.

Lista de verificación de endurecimiento (antes y después de la remediación)

  • Mantenga el núcleo, los temas y los complementos de WordPress actualizados.
  • Limitar el uso de plugins solo a los esenciales, mantenidos activamente.
  • Hacer cumplir contraseñas fuertes y autenticación multifactor (MFA) para cuentas de administrador.
  • Usar el principio de menor privilegio para usuarios de DB — evitar usar un usuario de DB con derechos de superusuario.
  • Restringir wp-admin y wp-login.php por IP o agregar autenticación adicional.
  • Implementa monitoreo de integridad de archivos y escaneos regulares de malware.
  • Mantener copias de seguridad diarias fuera del sitio y probar restauraciones periódicamente.
  • Usar un WAF profesional para proporcionar parcheo virtual y filtrado de tráfico.
  • Monitorear registros y alertas continuamente y suscribirse a fuentes de inteligencia de seguridad confiables.

Cómo WP-Firewall ayuda — protección inmediata y continua

En WP-Firewall operamos un enfoque de defensa en múltiples capas que combina detección proactiva, parcheo virtual y respuesta a incidentes. Aquí está cómo nuestro producto y servicios mitigan directamente este tipo de vulnerabilidad:

  1. Reglas WAF gestionadas y parcheo virtual
    • Desplegamos reglas que bloquean intentos de explotación contra entradas vulnerables conocidas (como fmcfIdSelectedFnt) sin esperar parches del proveedor.
    • Los parches virtuales son de bajo riesgo y se prueban para evitar falsos positivos en tráfico legítimo.
  2. Bloqueo de ataques en tiempo real
    • Nuestro WAF bloquea escáneres automatizados y kits de herramientas de explotación que indagan intentos de SQLi no autenticados.
    • También limitamos la tasa y identificamos patrones de escaneo distribuidos para prevenir la explotación masiva.
  3. Escaneo y alerta automatizados
    • Los sitios en nuestra plataforma reciben escaneos de vulnerabilidades regulares y notificaciones si se detecta un plugin vulnerable.
    • Monitoreamos intentos de explotación y proporcionamos orientación inmediata para la mitigación.
  4. Soporte forense y de remediación
    • Si se sospecha un compromiso, el soporte de WP‑Firewall puede ayudar con la investigación, contención y planes de recuperación.
    • Proporcionamos orientación sobre rotación de credenciales, limpieza y restauración desde copias de seguridad.
  5. Higiene continua e informes
    • Los clientes Pro reciben informes de seguridad mensuales y manejo de vulnerabilidades priorizado.
    • Nuestro plan Básico incluye protecciones esenciales que bloquean ataques comunes y riesgos del OWASP Top 10.

No podemos exagerar la importancia del parcheo virtual para vulnerabilidades donde un parche oficial no está disponible o se retrasa. Compra tiempo crítico y reduce la exposición mientras planificas una remediación permanente.

Indicadores de Compromiso (IoCs) — ejemplos a buscar

A continuación se presentan tipos de IoCs para buscar. Estos son genéricos, no específicos de explotación, destinados a ayudar a los equipos de detección a localizar actividad sospechosa.

  • Patrones de solicitud HTTP:
    • Solicitudes que incluyen el nombre del parámetro: fmcfIdSelectedFnt
    • Solicitudes con valores de parámetros de alta entropía o caracteres inusuales en fmcfIdSelectedFnt
  • Registros del servidor:
    • Mensajes de error de SQL cerca de archivos de plugins, por ejemplo, errores que hacen referencia a rutas de archivos de plugins.
    • Frecuencia elevada de respuestas 4xx o 5xx a puntos finales de plugins.
  • Artefactos de WordPress:
    • Nuevos usuarios administradores con nombres de usuario sospechosos.
    • Modificaciones inesperadas a opciones_wp (siteurl/home), entradas active_plugins o archivos de tema.
  • Sistema de archivos:
    • Archivos PHP con PHP ofuscado (base64_decode + evaluar).
    • Nuevos archivos en wp-content/uploads con extensión .php.

Cuando detectes cualquiera de lo anterior, trátalo como un incidente de alta prioridad y sigue la lista de verificación de respuesta a incidentes.

Orientación de comunicación para propietarios de sitios y administradores

Si gestionas múltiples sitios o proporcionas alojamiento, comunícate claramente:

  • Informa a las partes interesadas que el complemento tiene una vulnerabilidad no autenticada de alta gravedad.
  • Recomienda acción inmediata: eliminar/desactivar el complemento o aplicar parches virtuales de WAF.
  • Proporciona cronogramas: indica que un parche del proveedor puede no estar disponible aún y que el parcheo virtual es una medida interina segura.
  • Proporciona pasos de remediación y ofrece asistencia remota si es necesario.

Preguntas frecuentes

P: ¿Debería eliminar el complemento o solo desactivarlo?
R: Si realmente necesitas la funcionalidad del complemento y no puedes eliminarlo temporalmente, desactívalo solo si la desactivación interrumpe la funcionalidad crítica; de lo contrario, elimínalo hasta que exista un parche seguro. El parcheo virtual con un WAF es una mitigación aceptable a corto plazo.

P: ¿Qué pasa si mi sitio fue parcheado por el autor del complemento después de este aviso?
R: Si se dispone de una actualización oficial, prueba en un entorno de pruebas y luego actualiza en producción. Después de actualizar, escanea el sitio en busca de signos de compromiso y verifica la integridad.

P: ¿Son seguros los respaldos del complemento para restaurar si se tomaron mientras el complemento estaba activo?
R: Ten cuidado: los respaldos realizados mientras el complemento estaba presente podrían contener modificaciones maliciosas si ocurrió un compromiso. Verifica los respaldos y escanéales antes de restaurar.

Lista de verificación: acciones inmediatas (resumen de una página)

  • Inventario de sitios y localiza instancias del complemento (versiones ≤ 1.2).
  • Si el complemento está presente: desactívalo o elimínalo de inmediato, O aplica un parche virtual de WAF.
  • Aplica una regla de WAF que bloquee solicitudes sospechosas. fmcfIdSelectedFnt valores.
  • Inspecciona los registros en busca de solicitudes sospechosas y errores de SQL.
  • Escanea en busca de nuevos usuarios administradores, archivos cambiados y tareas programadas.
  • Rota las credenciales (admin, FTP, DB) si se encuentra actividad sospechosa.
  • Realice una copia de seguridad de la evidencia e inicie la respuesta a incidentes si se sospecha un compromiso.
  • Suscríbase a los avisos del proveedor para actualizaciones y realice parches oficiales cuando estén disponibles.

Proteja su sitio ahora — Pruebe el plan gratuito de WP‑Firewall

Si desea protección básica inmediata mientras evalúa y remedia, considere nuestro plan Básico (Gratis) en WP‑Firewall. Proporciona protección esencial y gestionada para bloquear patrones de ataque conocidos y reducir la exposición a ventanas de explotación de día cero.

Resumen del plan (Básico — Gratis):

  • Cortafuegos gestionado con un WAF ajustado que bloquea entradas maliciosas y huellas de ataque.
  • Ancho de banda ilimitado mientras protege su sitio contra escáneres automatizados e intentos de explotación.
  • Escáner de malware para encontrar archivos y cambios sospechosos.
  • Mitigaciones para los riesgos del OWASP Top 10 para reducir la probabilidad de ataques exitosos.

Para una protección sencilla y una mitigación rápida de amenazas como la inyección SQL no autenticada en Fonts Manager | Custom Fonts, puede registrarse para el plan gratuito aquí:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si necesita una limpieza más rápida y automatizada y parches virtuales, nuestros planes de pago incluyen eliminación automática de malware, parches virtuales, informes de seguridad mensuales y soporte de remediación dedicado.

Notas finales y divulgación responsable

Este aviso está escrito para ayudar a los propietarios y administradores de sitios a proteger sus sitios de WordPress. Evitamos compartir código de explotación para prevenir su reutilización maliciosa — el objetivo es una mitigación rápida y segura. Si opera sitios afectados, actúe de inmediato: elimine o desactive el complemento, aplique protecciones WAF e investigue los registros en busca de cualquier explotación pasada.

Si necesita asistencia, WP‑Firewall proporciona remediación guiada, respuesta a incidentes y parches virtuales continuos para reducir la exposición hasta que se disponga de una solución permanente. También ofrecemos protección Básica gratuita que bloquea intentos de explotación comunes — un primer paso práctico para cualquier propietario de sitio.

Manténgase alerta, mantenga el software actualizado y endurezca sus implementaciones de WordPress. Si tiene preguntas o necesita ayuda para aplicar los pasos anteriores, comuníquese con nuestro equipo de soporte a través de su consola de WP‑Firewall.

Referencias (para administradores y equipos técnicos):
– CVE: CVE-2026-1800 (identificador de aviso público; consulte la base de datos oficial de CVE para actualizaciones)
– Mejores prácticas generales de endurecimiento contra inyecciones SQL y pautas de OWASP

(Fin del aviso)

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™