Fuente base de datos: Wordfence Intelligence

Avada (Fusion) Builder <= 3.12.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

PLUGIN MEDIUM CVE-2025-6747

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Avada (Fusion) Builder, que afecta a versiones hasta la 3.12.1. Esta falla permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin maneja los shortcodes, permitiendo que un atacante autenticado inserte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios. Esto se clasifica como un XSS almacenado, ya que el script se almacena en el servidor y se entrega a los usuarios que visualizan el contenido afectado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto puede afectar la confianza del usuario y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la creación de contenido que incluye shortcodes manipulados, que son luego visualizados por otros usuarios, ejecutando el código malicioso en sus navegadores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Avada (Fusion) Builder a la versión 3.12.2 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas a roles de usuario de confianza.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts inusuales en el contenido generado por el plugin, así como reportes de comportamiento extraño por parte de los usuarios al interactuar con el contenido afectado.

Alcance afectado

Las versiones del plugin Avada (Fusion) Builder hasta la 3.12.1 están afectadas. La versión 3.12.2 y posteriores han corregido esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder < 3.15.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Fusion Builder <= 3.13.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.14 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.11 - Authenticated (Contributor+) Stored Cross-Site Scripting in Multiple Widgets

MEDIUM PLUGIN

fusion-builder

Avada | Website Builder For WordPress & eCommerce <= 3.11.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via fusion_button Shortcode

MEDIUM PLUGIN

fusion-builder

Fusion Builder <= 3.11.1 - Reflected Cross-Site Scripting via User Register Element

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto