Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Avada Builder <= 3.15.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Module Title en Fusion Builder (Cross-Site Scripting (XSS)) - version 3.15.6

PLUGIN MEDIUM CVE-2026-12536

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Avada Builder, que afecta a las versiones hasta la 3.15.5. Esta falla permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se manifiesta a través del título de los módulos en Avada Builder, permitiendo a un atacante autenticado insertar código JavaScript. Esto afecta a la superficie de ataque en la interfaz de usuario del plugin, donde se gestionan los módulos.

Impacto potencial

El impacto de esta vulnerabilidad podría resultar en la ejecución de scripts no autorizados en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación del contenido del sitio. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante el envío de un payload de XSS a través del título de un módulo, lo que requiere que el atacante tenga acceso como usuario autenticado con privilegios de contribuidor o superior.

Mitigación recomendada

Actualizar Avada Builder a la versión 3.15.6 o superior para corregir la vulnerabilidad. Revisar los roles y permisos de los usuarios para limitar el acceso a funciones críticas del plugin. Implementar medidas de seguridad adicionales como la validación de entradas y la sanitización de datos en el frontend.

Señales de detección

Monitorear los registros de actividad de los usuarios para detectar cambios inusuales en los títulos de los módulos. Estar atento a intentos de inyección de scripts en las entradas de usuario.

Alcance afectado

Las versiones de Avada Builder hasta la 3.15.5 son vulnerables. No se han confirmado casos en versiones posteriores a la 3.15.6.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.2 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Multiple Shortcodes

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder < 3.15.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.14.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Fusion Builder <= 3.13.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.12.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.14 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.11.11 - Authenticated (Contributor+) Stored Cross-Site Scripting in Multiple Widgets

MEDIUM PLUGIN

fusion-builder

Avada | Website Builder For WordPress & eCommerce <= 3.11.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via fusion_button Shortcode

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad