El ecosistema de WordPress vuelve a enfrentarse a un problema de seguridad de gran alcance. Un fallo recientemente descubierto en el plugin Smart Slider 3, utilizado por más de 800.000 sitios web, está dejando expuestas a más de medio millón de páginas a posibles ataques que podrían comprometer completamente su integridad.
El fallo, identificado como CVE-2026-3098, permite a usuarios autenticados con permisos básicos —como simples suscriptores— acceder a archivos arbitrarios almacenados en el servidor. Esto incluye uno de los archivos más sensibles de cualquier instalación WordPress: wp-config.php.
Este archivo contiene información extremadamente crítica, como las credenciales de acceso a la base de datos, claves de seguridad y valores criptográficos (salts), que, en manos equivocadas, pueden facilitar desde el robo de datos hasta el control total del sitio web.
El problema afecta a todas las versiones del plugin hasta la 3.5.1.33, lo que amplía considerablemente la superficie de ataque.
Un plugin masivo con un fallo silencioso
Smart Slider 3 es ampliamente utilizado para crear carruseles de imágenes y contenido dinámico mediante una interfaz intuitiva de arrastrar y soltar. Su popularidad radica en su facilidad de uso y su amplio catálogo de plantillas, lo que lo convierte en una herramienta habitual tanto para pequeños blogs como para sitios corporativos.
Sin embargo, esta misma popularidad multiplica el impacto de cualquier fallo. En este caso, el fallo no requiere técnicas avanzadas de explotación: basta con disponer de una cuenta registrada en el sitio afectado.
El origen técnico del fallo
La investigación fue llevada a cabo por el experto en seguridad Dmitrii Ignatyev, quien detectó un problema en las acciones AJAX del plugin relacionadas con la exportación de datos.
En concreto, la función actionExportAll carece de controles adecuados sobre los permisos del usuario (capability checks), así como de validaciones sobre el tipo y origen de los archivos que se pueden incluir en la exportación.
Esto significa que cualquier usuario autenticado puede invocar esta función y forzar la inclusión de archivos arbitrarios del servidor en un archivo exportado.
Además, aunque el sistema utiliza un nonce (token de seguridad), este no impide el abuso, ya que puede ser obtenido por cualquier usuario autenticado.
Un riesgo especialmente relevante en sitios con usuarios registrados
Aunque el fallo requiere autenticación, su impacto sigue siendo elevado. Hoy en día, gran parte de los sitios web utilizan sistemas de registro para ofrecer contenido personalizado, comentarios, membresías o comercio electrónico.
Esto convierte a millones de usuarios en potenciales vectores de ataque, ya que basta con registrarse para explotar el fallo.
En entornos donde los registros son abiertos o poco controlados, el riesgo se multiplica exponencialmente.
Más de 500.000 webs siguen expuestas
El fallo fue notificado el 23 de febrero y validado rápidamente por los investigadores de Wordfence, quienes notificaron al desarrollador del plugin, Nextendweb.
La empresa reconoció el problema el 2 de marzo y publicó un parche el 24 de marzo con la versión 3.5.1.34, que corrige el fallo.
Sin embargo, los datos de descargas indican una realidad preocupante: en la última semana, el plugin se ha descargado más de 300.000 veces, lo que sugiere que al menos 500.000 sitios siguen ejecutando versiones vulnerables de este plugin poniendo en riesgo sus sitios web.
Un escenario de explotación inminente
Aunque por el momento no se ha detectado explotación activa del fallo, los expertos advierten que esta situación puede cambiar rápidamente.
La publicación de detalles técnicos y pruebas de concepto facilita que actores maliciosos desarrollen exploits funcionales en poco tiempo, especialmente en un entorno tan extendido como WordPress.
El acceso a archivos como wp-config.php abre la puerta a ataques más complejos, incluyendo: escalada de privilegios, acceso a bases de datos, inserción de malware y secuestro completo del sitio web.
