Vulnerabilidad en Smart Slider compromete seguridad de 500 mil sitios de WordPress
Una vulnerabilidad de seguridad que ha sido descubierta recientemente en Smart Slider 3, uno de los plugins más utilizados en el ecosistema de WordPress, con más de 800 mil instalaciones activas, ha encendido las alarmas en la comunidad de administradores web.
Este fallo permite que usuarios con el nivel de permisos más bajo, simples suscriptores, escalen privilegios de facto para acceder a archivos arbitrarios dentro del servidor. En manos de un hacker malicioso con autenticación básica, esta brecha de seguridad se convierte en una llave maestra.
Podría utilizarse para extraer archivos extremadamente sensibles, como el núcleo del sitio; el archivo wp-config.php. Este documento no es un archivo cualquiera, es el corazón de la configuración de WordPress, albergando las credenciales de la base de datos, claves de seguridad y “salts” criptográficos.
El compromiso de esta información no solo facilita el robo masivo de datos de usuarios, sino que abre la puerta a un secuestro total del sitio web. Smart Slider 3 se ha ganado su popularidad gracias a su intuitivo editor drag-and-drop y su vasta biblioteca de plantillas para carruseles de contenido.
Sin embargo, esa misma versatilidad ha ocultado un fallo estructural en su lógica interna. La vulnerabilidad, identificada como CVE-2026-3098, ha sido detectada por diversos investigadores y afecta a todas las versiones del plugin hasta la versión 3.5.1.33.
A pesar de que ha recibido una puntuación de severidad media, principalmente debido a que requiere que los atacantes estén autenticados, esta clasificación es engañosa. En el panorama digital actual, donde la mayoría de los sitios operan con sistemas de membresía, foros o tiendas interactivas, conseguir una cuenta de suscriptor es una tarea algo más que trivial.
Esto convierte un riesgo “teórico” en una amenaza inminente para cualquier plataforma con un registro de usuarios abierto. El origen del problema reside en la falta de verificaciones de capacidad o capability checks en las acciones AJAX de exportación del plugin.
Las empresas vulnerables y que han sido atacadas por ciberdelincuentes difícilmente recuperan su competitividad, debido a que su reputación se ve gravemente afectada. Para controlar esto, TIC Defense tiene un programa completo de medios tecnológicos y teóricos de prevención y respuesta rápida a incidentes totalmente adaptables a las organizaciones.
Específicamente, la función actionExportAll ha sido diseñada sin los filtros de validación necesarios para restringir qué tipos de archivos pueden ser procesados o desde qué fuentes pueden ser llamados. Cualquier usuario autenticado puede invocar estas funciones y lo que es más grave: la presencia de un nonse, un número de un solo uso para verificar la legitimidad de la petición, no sirve de barrera en este caso, debido a que los usuarios legítimos pueden obtenerlo fácilmente al navegar por el panel.
Desafortunadamente, en las versiones vulnerables, esta función no discrimina entre tipos de archivo. Esto significa que un ciberdelincuente no se limita a exportar imágenes o videos; puede extraer archivos .php completos, según lo explican los especialistas que siguen el caso.
Esto ha permitido que alguien con el mínimo acceso posible pueda leer el wp-config.php, obteniendo control total sobre la infraestructura criptográfica y base de datos del sitio. El proceso de resolución comenzó desde el 23 de febrero, cuando los expertos reportaron sus descubrimientos a Wordfence.
