Dos fallos críticos reportados este mes en el constructor visual Avada Builder para WordPress ponen en riesgo a cerca de un millón de sitios: uno permite la lectura arbitraria de archivos en el servidor y el otro es una inyección SQL ciega por tiempo que puede extraer datos sensibles. El hallazgo fue documentado por Wordfence y divulgado tras la investigación del experto Rafie Muhammad, quien recibió recompensas por ambos hallazgos; la información técnica inicial está publicada por Wordfence y sirve como referencia para administradores y equipos de respuesta. Wordfence explica los detalles y el registro del plugin y su cantidad de instalaciones puede comprobarse en el repositorio oficial de WordPress. Página del plugin en WordPress.org
El fallo rastreado como CVE-2026-4782 permite que un usuario autenticado con permiso mínimo (nivel suscriptor) abuse de la funcionalidad de renderizado de shortcodes y del parámetro custom_svg para leer cualquier archivo accesible por el servidor web. Esto significa que un atacante con una cuenta de baja confianza puede recuperar ficheros sensibles como wp-config.php, que contiene credenciales de base de datos y claves criptográficas. La exposición de ese archivo facilita la toma completa del sitio, porque con las credenciales se pueden escalar privilegios, clonar la base de datos o instalar puertas traseras.
El segundo fallo, identificado como CVE-2026-4798, es una inyección SQL basada en tiempo que afecta a versiones hasta la 3.15.1 y se origina por la inclusión directa del parámetro product_order en la cláusula ORDER BY sin la preparación adecuada de la consulta. Aunque esta vulnerabilidad se explota sin necesidad de autenticación, tiene un condicionante importante: solo es aprovechable si el sitio usó WooCommerce y luego lo desactivó, dejando intactas sus tablas en la base de datos. En ese escenario un atacante puede extraer hashes de contraseñas y otros datos sensibles mediante técnicas de exfiltración ciega por tiempo.
El informe privado fue enviado a Wordfence y el proveedor del plugin a finales de marzo; se publicaron soluciones parciales y completas en abril y mayo: la versión 3.15.2 mitiga parcialmente el problema y la versión 3.15.3 contiene el parche completo. Actualizar a Avada Builder 3.15.3 es la acción inmediata y no negociable para todos los administradores de sitios que utilicen ese plugin.
Además de actualizar, los responsables deben realizar acciones de contención y verificación: comprobar los registros de acceso por patrones de explotación de shortcodes y peticiones al parámetro custom_svg, auditar las cuentas de usuario recién creadas o con actividad sospechosa (porque el acceso de nivel suscriptor basta para explotar la lectura de archivos) y revisar consultas atípicas que indiquen intentos de extracción por tiempo contra la base de datos. Si el sitio usó WooCommerce y fue desactivado, conviene verificar la integridad y el contenido de sus tablas; si no se necesitan, exportarlas y eliminarlas después de hacer copia de seguridad puede eliminar la superficie de ataque utilizada por la SQLi.
Si sospecha que se ha producido una intrusión, adopte medidas de respuesta: cambie las credenciales de base de datos y las claves/sales definidas en wp-config.php, fuerce el restablecimiento de contraseñas de cuentas administrativas, escanee el sitio en busca de archivos web maliciosos (webshells) y compare copias de seguridad recientes para detectar modificaciones. Implementar reglas de WAF que bloqueen solicitudes que intenten abusar del parámetro custom_svg o inyectar payloads en ORDER BY puede mitigar intentos en curso mientras se aplica la corrección.
La prevención a medio plazo pasa por políticas que limiten el registro abierto de usuarios en sitios públicos, una estrategia de privilegios mínimos para roles de WordPress y la validación estricta de parámetros en plugins de terceros antes de su despliegue. Mantener un ciclo de parcheo ágil y pruebas en un entorno controlado previo al despliegue reduce la ventana de exposición ante vulnerabilidades similares.
Para referencia técnica y seguimiento de los CVE puede consultarse el detalle público en la base de datos nacional de vulnerabilidades, donde constan los identificadores y las notas técnicas: CVE-2026-4782 en NVD y CVE-2026-4798 en NVD. La vigilancia activa, las actualizaciones inmediatas y una respuesta forense rápida son las claves para minimizar el impacto si su sitio utiliza Avada Builder.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...