Fuente base de datos: Wordfence Intelligence

B Slider- Gutenberg Slider Block for WP <= 1.1.30 - Authenticated (Subscriber+) Missing Authorization to Arbitrary Plugin Installation

PLUGIN HIGH CVE-2025-8418

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin B Slider para WordPress, que permite la instalación arbitraria de plugins por usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad, catalogada con un CVSS de 8.8, afecta a versiones hasta la 1.1.30 y fue publicada el 11 de agosto de 2025.

Contexto técnico

La falla radica en la falta de autorización adecuada en el plugin B Slider, lo que permite a usuarios con permisos insuficientes realizar acciones que deberían estar restringidas. Esto se traduce en una superficie de ataque ampliada, donde un atacante podría aprovechar la vulnerabilidad para instalar plugins maliciosos en el sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que puede llevar a la instalación de software malicioso, comprometiendo la integridad del sitio y exponiendo datos sensibles. Esto podría resultar en pérdidas económicas, daños a la reputación y posibles sanciones regulatorias.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la autenticación como usuarios con rol de suscriptor o superior, accediendo a funciones del plugin que no deberían estar disponibles para ellos y ejecutando comandos para instalar plugins no autorizados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin B Slider a la versión 2.0.0 o superior. Además, es aconsejable revisar los permisos de los roles de usuario y aplicar prácticas de hardening en la gestión de plugins.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en la instalación de plugins, accesos inusuales por parte de usuarios con rol de suscriptor, y registros de actividad sospechosa en el panel de administración de WordPress.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin B Slider hasta la 1.1.30. Las instalaciones que no hayan actualizado a la versión 2.0.0 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

b-slider

B Slider <= 2.0.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

b-slider

B Slider <= 1.1.30 - Missing Authorization

MEDIUM PLUGIN

b-slider

B Slider - Gutenberg Slider Block for WP <= 2.0.0 - Authenticated (Subscriber+) Sensitive Information Exposure

MEDIUM PLUGIN

b-slider

B Slider - Gutenberg Slider Block for WP <= 2.0.0 - Authenticated (Subscriber+) Server-Side Request Forgery

MEDIUM PLUGIN

b-slider

B Slider- Gutenberg Slider Block for WP <= 1.1.23 - Authenticated (Contributor+) Private Post Disclosure via bsb-slider Shortcode

MEDIUM PLUGIN

b-slider

B Slider - Slider for your block editor <= 1.1.12 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto