Fuente base de datos: Wordfence Intelligence

Sky Addons <= 3.3.2 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Script en SKY Elementor Addons (Cross-Site Scripting (XSS)) - version 3.3.3

PLUGIN MEDIUM CVE-2026-7475

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Sky Addons hasta la versión 3.3.2. Este fallo permite la ejecución de scripts maliciosos, lo que puede comprometer la seguridad de los usuarios autenticados y afectar la integridad del sitio.

Contexto técnico

El fallo se presenta a través de un script personalizado que puede ser inyectado por un autor autenticado. La superficie de ataque está relacionada con la capacidad de los usuarios con privilegios de autor para introducir contenido que no es debidamente sanitizado, permitiendo así la ejecución de código malicioso en el navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de los usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la sesión del usuario. Esto representa un riesgo para la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

La explotación suele llevarse a cabo mediante la inyección de scripts maliciosos en campos de entrada que no están adecuadamente protegidos, aprovechando los privilegios de autor para afectar a otros usuarios del sistema.

Mitigación recomendada

Actualizar el plugin Sky Addons a la versión 3.3.3 o superior para corregir la vulnerabilidad. Revisar y sanitizar cualquier entrada de usuario en el sitio para prevenir futuras inyecciones de scripts. Implementar políticas de control de acceso más estrictas para los usuarios con privilegios de autor.

Señales de detección

Señales de riesgo incluyen logs de actividad sospechosa, como la inyección de scripts en entradas o cambios inusuales en configuraciones de usuario. También se deben monitorizar errores de ejecución de scripts en el navegador.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Sky Addons hasta la 3.3.2. No se han confirmado casos en versiones posteriores a la 3.3.3.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 3.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Widgets

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 3.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.15 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.11 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.4.0 - Authenticated(Contributor+) Stored Cross-site scripting via Wrapper Link URL

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto