Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Avada (Fusion) Builder <= 3.15.2 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Multiple Shortcodes en Fusion Builder (Cross-Site Scripting (XSS)) - version 3.15.3

PLUGIN MEDIUM CVE-2026-1543

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Avada (Fusion) Builder, que afecta a las versiones hasta la 3.15.2. Esta falla permite a usuarios autenticados, con rol de suscriptor o superior, ejecutar scripts maliciosos, comprometiendo la seguridad del sitio web.

Contexto técnico

El fallo se origina en la manipulación inadecuada de múltiples shortcodes dentro del plugin, lo que permite la inyección de código JavaScript malicioso. La superficie de ataque se presenta cuando un usuario autenticado inserta contenido a través de los shortcodes, que luego es procesado sin la debida sanitización.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la suplantación de identidad. Esto afecta la integridad del sitio web y puede dañar la confianza de los usuarios.

Vector de explotación

La explotación se realiza mediante la creación de contenido que incluye shortcodes vulnerables, que son procesados y renderizados en el frontend sin la adecuada validación.

Mitigación recomendada

Actualizar el plugin Avada (Fusion) Builder a la versión 3.15.3 o superior para corregir la vulnerabilidad. Revisar y sanitizar cualquier contenido existente que utilice los shortcodes afectados. Implementar medidas de seguridad adicionales, como la validación de entradas y la configuración de políticas de contenido (CSP).

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes POST que incluyan shortcodes, así como cualquier actividad sospechosa de usuarios con rol de suscriptor o superior.

Alcance afectado

Las versiones del plugin Avada (Fusion) Builder hasta la 3.15.2 están afectadas. No se han confirmado otros escenarios de explotación más allá de los mencionados.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder < 3.15.0 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.14.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

fusion-builder

Fusion Builder <= 3.13.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.12.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Ver ficha
MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.14 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.11 - Authenticated (Contributor+) Stored Cross-Site Scripting in Multiple Widgets

Ver ficha
MEDIUM PLUGIN

fusion-builder

Avada | Website Builder For WordPress & eCommerce <= 3.11.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via fusion_button Shortcode

Ver ficha
MEDIUM PLUGIN

fusion-builder

Fusion Builder <= 3.11.1 - Reflected Cross-Site Scripting via User Register Element

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad