Aviso de descarga de archivos arbitrarios de Smart Slider 3//Publicado el 2026-03-27//CVE-2026-3098

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Smart Slider 3 Vulnerability

Nombre del complemento Smart Slider 3
Tipo de vulnerabilidad Descarga de archivos arbitrarios
Número CVE CVE-2026-3098
Urgencia Alto
Fecha de publicación de CVE 2026-03-27
URL de origen CVE-2026-3098

Urgente: Descarga de Archivos Arbitrarios (CVE-2026-3098) en Smart Slider 3 — Lo que los Propietarios de Sitios de WordPress Deben Hacer Ahora

Fecha: 27 de marzo de 2026
Autor: Equipo de seguridad de WP-Firewall

Se ha divulgado una vulnerabilidad de alta prioridad (CVE-2026-3098) que afecta al popular plugin Smart Slider 3. Las versiones hasta e incluyendo 3.5.1.33 son vulnerables a un problema de descarga de archivos arbitrarios autenticados a través de una acción AJAX llamada “actionExportAll”. El problema permite a un usuario con privilegios de Suscriptor descargar archivos del servidor web a los que no debería poder acceder. El proveedor lanzó un parche en la versión 3.5.1.34 de Smart Slider 3. La puntuación CVSS publicada para este problema es 6.5 y la causa raíz se relaciona con el Control de Acceso Roto.

Si ejecutas Smart Slider 3 en tu sitio, asume que estás en riesgo hasta que actualices. A continuación, explicamos en términos claros y prácticos lo que permite esta vulnerabilidad, cómo los atacantes (o herramientas de explotación masiva automatizadas) intentarán usarla, cómo detectar la explotación, mitigaciones inmediatas que puedes aplicar (incluidas sugerencias de parche virtual/WAF) y endurecimiento a largo plazo para reducir el riesgo en el futuro.

Esto está escrito desde la perspectiva de ingenieros de seguridad de WordPress experimentados: pasos prácticos y priorizados que puedes tomar de inmediato, además de medidas más profundas de remediación y prevención.

Resumen ejecutivo (lo que necesitas saber, rápido)

  • Vulnerabilidad: descarga de archivos arbitrarios a través del punto final AJAX del plugin (actionExportAll).
  • Versiones afectadas: Smart Slider 3 <= 3.5.1.33.
  • Versión parcheada: 3.5.1.34 (actualiza de inmediato).
  • CVE: CVE-2026-3098.
  • Privilegio requerido: Suscriptor autenticado (es decir, incluso usuarios autenticados de bajo privilegio).
  • Riesgo: Alto. Los atacantes pueden descargar archivos sensibles (copias de seguridad, archivos de configuración, claves privadas, exportaciones de DB) y escalar la compromisión. Esto es atractivo para campañas de explotación masiva.
  • Acción inmediata: actualiza el plugin ahora. Si no puedes actualizar, aplica una o más mitigaciones a continuación (bloqueo de reglas/eventos WAF, deshabilitar funcionalidad ofensiva, restringir el acceso a puntos finales admin-ajax, endurecer permisos de archivos, escanear en busca de compromisos).

Lo que hace la vulnerabilidad (visión técnica)

Smart Slider 3 expone una acción AJAX que maneja la exportación de contenido. La vulnerabilidad reportada surge porque el código que maneja la exportación no aplica correctamente el control de acceso y la sanitización de la ruta del archivo solicitado. Un usuario autenticado (incluso una cuenta de Suscriptor) puede invocar la acción AJAX (llamada “actionExportAll”, según el aviso) y solicitar archivos arbitrarios del servidor. El plugin devuelve el contenido del archivo solicitado como una descarga, permitiendo la exfiltración de cualquier archivo que el proceso PHP pueda leer.

Los objetivos sensibles comunes para los atacantes incluyen:

  • wp-config.php (credenciales de la base de datos)
  • Archivos de copia de seguridad y archivos comprimidos (las copias de seguridad del sitio a menudo contienen credenciales y datos completos del sitio)
  • .env archivos u otros archivos de configuración privados
  • Claves SSH o archivos de certificados privados si se almacenan accidentalmente bajo la raíz web
  • Copias de seguridad de bases de datos y archivos de exportación específicos de plugins
  • Archivos de datos de usuario y almacenes de sesiones

Debido a que el atacante solo necesita una cuenta de Suscriptor, esta vulnerabilidad es particularmente peligrosa en sitios que permiten un registro fácil (registro abierto), o en sitios donde los atacantes pueden registrarse u obtener cuentas de suscriptor a través de credential stuffing o toma de cuentas.

Por qué esto es peligroso — impacto en el mundo real

  • Las descargas de archivos arbitrarios permiten a los atacantes obtener credenciales y claves secretas, lo que permite la toma de control total del sitio.
  • Las copias de seguridad o volcado de bases de datos exfiltradas exponen datos personales de los usuarios, creando obligaciones de violación de privacidad y posible exposición regulatoria.
  • Una vez que se adquieren las credenciales, los atacantes pueden escalar a administrador, instalar puertas traseras, pivotar a otros sistemas o usar la infraestructura del sitio para phishing/distribución de malware.
  • Las vulnerabilidades que requieren solo bajos privilegios son comúnmente explotadas en campañas masivas — los atacantes automatizan la creación de cuentas y escanean en busca de plugins vulnerables en miles de sitios.

Dada la baja exigencia de privilegios y el vector de explotación sencillo (una acción AJAX), la probabilidad de explotación activa es alta. Trate esto como una actualización urgente.

Cómo intentarán los atacantes explotar esto (escenarios)

  1. Escaneo y registro masivo: Bots automatizados escanean versiones de plugins vulnerables. Si el registro está abierto, los bots crean cuentas de suscriptor e invocan la acción de exportación para solicitar rutas probables (por ejemplo, /wp-config.php, nombres de archivos de copia de seguridad).
  2. Credential stuffing: Los atacantes reutilizan credenciales filtradas para cuentas de bajo privilegio para iniciar sesión como suscriptores existentes y llamar a la acción de exportación.
  3. Cuentas internas/comprometidas: Una cuenta de suscriptor maliciosa o comprometida (empleado despedido, afiliado, proveedor) puede exfiltrar archivos.
  4. Encadenamiento para escalar: Descargar wp-config.php y credenciales de DB permite al atacante acceder a la base de datos, crear un usuario administrador o cambiar opciones del sitio.

Detección de explotación — qué buscar en este momento

Verifique los registros de acceso del servidor y los registros de la aplicación en busca de patrones que indiquen llamadas a la acción de exportación. Busque especialmente solicitudes a admin-ajax.php (u otros puntos finales de AJAX) que incluyan la cadena action=actionExportAll o similar.

Patrones de búsqueda (reemplazar la ruta access_log y el rango de fechas según sea necesario):

Ejemplos de grep en el registro de acceso de Apache/Nginx:

# Buscar la acción AJAX exacta en los registros

Buscar:

  • Solicitudes de usuarios autenticados (cookie de inicio de sesión exitoso / patrones de cookies) invocando admin-ajax.php con acción de exportación.
  • Solicitudes que resultan en respuestas grandes (descargas de archivos).
  • Solicitudes desde la misma dirección IP que solicitan diferentes nombres de archivo (estilo iterador).
  • Solicitudes que incluyen secuencias de recorrido de ruta (../) o referencias a wp-config.php, .env, .sql, .cremallera, .bak.

Comprobaciones específicas de WP:

  • Usa WP‑CLI para listar usuarios y cuentas sospechosas:
# Listar usuarios con rol de suscriptor
  • Busca cuentas de suscriptor nuevas inesperadas creadas alrededor del momento de la actividad sospechosa en los registros.

Comprobaciones del sistema de archivos:

  • Verifica el directorio raíz web en busca de nuevos archivos (webshells/backdoors) y archivos de respaldo presentes inesperadamente en wp-content u otras carpetas públicas.
  • Busca marcas de tiempo modificadas de archivos del núcleo, archivos de plugins o archivos de temas.

Escaneo de malware:

  • Realiza un escaneo completo de malware en el sitio con tus herramientas de seguridad (o usa el escáner incluido en tu suite de seguridad/firewall) para detectar archivos inusuales o puertas traseras después de una explotación sospechada.

Registros de auditoría:

  • Si tienes registro de actividad (registro de auditoría, registros de acciones de administrador), revisa la creación de usuarios, cambios de rol, instalaciones de plugins y ediciones inesperadas.

Indicadores de Compromiso (IoCs) a buscar:

  • Registros de acceso que contengan “action=actionExportAll” o solicitudes admin-ajax que devuelvan un contenido de longitud diferente de cero con tipo de contenido application/octet-stream.
  • Nuevas cuentas de suscriptor creadas por la misma IP o dentro de intervalos cortos.
  • Descargas de archivos inusuales tras llamadas a admin-ajax.

Lista de verificación de remediación inmediata (ordenada por prioridad)

  1. Actualiza Smart Slider 3 a 3.5.1.34 (o la versión más reciente disponible) de inmediato.
    – En la interfaz de administración: Panel → Plugins → actualizar Smart Slider 3.
    – O a través de WP‑CLI:

    wp plugin actualizar smart-slider-3

    Actualizar el plugin es la solución definitiva. Si gestionas múltiples sitios, prioriza esto en toda tu flota.

  2. Si no puedes actualizar en este momento, implementa un parche virtual / regla WAF para bloquear intentos de explotación (ver ejemplos de WAF a continuación). También considera desactivar temporalmente el plugin hasta que puedas actualizar.
  3. Bloquea la acción de exportación a través de un pequeño mu‑plugin (detén el manejador AJAX para no administradores). Coloca un archivo en wp-content/mu-plugins/disable-ss3-export.php: 
    <?php;

    Nota: Este enfoque intercepta la acción AJAX temprano y niega el acceso a los no administradores. Es una mitigación temporal pragmática hasta que puedas aplicar el parche del proveedor.

  4. Usa tu firewall para bloquear solicitudes que contengan la palabra clave de acción si provienen de IPs sospechosas o si la solicitud se originó en cuentas que no son administradores (parcheo virtual). Ver reglas de ejemplo a continuación.
  5. Restringe los permisos de archivo y elimina copias de seguridad públicas:
    – Asegurarse de que wp-config.php es 600–640 y no legible por el mundo.
    – Elimina archivos de copia de seguridad de la raíz web. Muévalos a una ubicación segura fuera del sitio.
    – Asegúrate de que los directorios de subidas no contengan archivos comprimidos o potencialmente sensibles.
  6. Rota las credenciales: asume que las credenciales pueden haber sido expuestas si encuentras accesos sospechosos:
    – Credenciales de base de datos (si wp-config.php era accesible).
    – Tokens de API utilizados por el sitio, contraseñas de servicios de terceros.
    – Cambia la(s) contraseña(s) de administrador y invalida sesiones (forzar cierre de sesión a todos los usuarios).
  7. Escanea y remedia:
    – Realiza un escaneo completo de malware (plugin o externo).
    – Si detectas signos de compromiso activo, desconecta el sitio, restaura desde una copia de seguridad limpia conocida (antes del compromiso) y reaplica las actualizaciones.
  8. Revisa y refuerza los registros de usuarios:
    – Desactiva el registro abierto si no es necesario.
    – Agrega verificación por correo electrónico, CAPTCHA o aprobación manual para nuevas cuentas.
    – Aplica políticas de contraseña más estrictas y considera limitar los nombres de usuario permitidos.

Ejemplos de WAF / parche virtual (guía para administradores y alojadores)

Si ejecutas un firewall (de red o de aplicación) o tienes acceso a reglas de ModSecurity / nginx, puedes bloquear intentos de explotación que apunten al nombre de acción AJAX y patrones de ruta típicos. Estos son ejemplos: adapta a tu entorno y prueba antes de implementar en producción.

Ejemplo de regla ModSecurity (conceptual):

# Bloquear llamadas a admin-ajax.php que intentan actionExportAll con un patrón de cookie no admin"

Explicación: Esto bloquea solicitudes a admin-ajax.php que contienen el parámetro actionExportAll provenientes de solicitudes no autenticadas. Dado que la explotación requiere autenticación, es posible que debas bloquear o desafiar cualquier solicitud que coincida con actionExportAll a menos que provenga de una IP de administrador en la lista blanca.

Ejemplo de Nginx (bloqueo por argumento, simplista):

if ($request_uri ~* "admin-ajax\.php" ) {

Importante: Esta regla simplista de nginx bloqueará TODAS las solicitudes que utilicen esa acción, lo cual es deseable como mitigación de emergencia, pero puede interferir con tareas administrativas legítimas si tus administradores utilizan la funcionalidad de exportación. Usa una lista blanca cuidadosa para las IPs de administradores o elimina la regla después de aplicar el parche.

Sugerencias de patrones genéricos de WAF:

  • Bloquear o desafiar solicitudes a admin-ajax.php o admin-post.php que contengan action=actionExportAll u otras palabras clave de exportación.
  • Bloquear solicitudes que incluyan secuencias de recorrido de ruta (../) en parámetros de consulta.
  • Limitar la tasa para acciones AJAX para prevenir enumeraciones de fuerza bruta.
  • Si es posible, verifica la sesión/cookie y requiere una mayor capacidad de usuario antes de permitir la acción.

Si tienes un WAF avanzado que examina cookies/roles, bloquea explícitamente las solicitudes donde el rol del usuario es suscriptor intentando esta acción. Si no está disponible, bloquear la acción para todas las IPs no administradoras o requerir un encabezado (como una lista blanca de IPs de administradores) es efectivo.

Un mu-plugin práctico para neutralizar la vulnerabilidad (parche rápido)

Crea un archivo de plugin de uso obligatorio (guardado en wp-content/mu-plugins/disable-ss3-export.php). Esto se ejecuta incluso si otros complementos están desactivados:

<?php
/**
 * Disable Smart Slider 3 export endpoint for non-admins
 */

add_action('admin_init', function() {
    if ( defined('DOING_AJAX') && DOING_AJAX ) {
        $action = isset($_REQUEST['action']) ? strtolower($_REQUEST['action']) : '';
        if ( $action === 'actionexportall' ) {
            // Allow only administrators (manage_options capability)
            if ( ! current_user_can( 'manage_options' ) ) {
                // Stop the request; return HTTP 403
                wp_send_json_error( 'Forbidden', 403 );
                exit;
            }
        }
    }
}, 1);

Notas:
– Esta es una medida de protección temporal. Solo bloquea la acción nombrada para no administradores, lo que aborda el vector de ataque reportado.
– Prueba cuidadosamente en una copia de staging antes de implementar en producción, especialmente si tu sitio utiliza las funciones de exportación de Smart Slider 3 para flujos de trabajo legítimos.

Respuesta a incidentes — si sospechas que has sido comprometido

  1. Actualiza inmediatamente el complemento a la versión corregida e implementa una regla WAF para bloquear la exfiltración adicional.
  2. Pon el sitio en modo de mantenimiento o desconéctalo hasta que completes el triaje (si se sospecha de un compromiso activo).
  3. Cambia todas las credenciales de usuario administrativo y rota las credenciales de la base de datos si wp-config.php fue expuesto.
  4. Escanea en busca de shells web/backdoors, tareas programadas inesperadas (entradas cron) y nuevos usuarios administradores.
  5. Restaura desde una copia de seguridad limpia (de antes del compromiso) si encuentras backdoors persistentes.
  6. Revisa los registros del servidor y de la aplicación para determinar el alcance del acceso:
    • ¿Qué archivos fueron descargados?
    • ¿Qué cuentas fueron utilizadas?
    • ¿Qué IPs estuvieron involucradas?
  7. Notifica a las partes interesadas y sigue cualquier obligación legal o regulatoria de reporte por violaciones de datos (si se expuso información personal).
  8. Realiza un endurecimiento completo de la seguridad como se describe en la sección de “endurecimiento” a continuación.

Si necesitas ayuda con el triaje forense o la remediación, consulta con un proveedor de seguridad de confianza o tu proveedor de hosting.

Endurecimiento y prevención (más allá de la solución inmediata)

Corregir el complemento aborda la falla inmediata, pero sigue estas mejores prácticas para reducir la exposición a problemas similares en el futuro:

  • Principio de mínimo privilegio:
    • Solo da a los usuarios los roles y capacidades que necesitan.
    • Evita otorgar a autores o colaboradores más privilegios de los necesarios.
  • Controles de registro:
    • Desactivar el registro público si no es necesario.
    • Requerir verificación de correo electrónico y usar CAPTCHA en los formularios de registro.
  • Hacer cumplir contraseñas fuertes y considerar la autenticación multifactor (MFA) para administradores.
  • Higiene de plugins:
    • Mantener un inventario de los plugins y temas instalados y actualizarlos puntualmente.
    • Elimine los plugins y temas que no utilice.
    • Suscribirse a fuentes de vulnerabilidades confiables o monitoreo para detectar nuevos problemas rápidamente.
  • Copias de seguridad:
    • Almacenar copias de seguridad fuera del directorio web y cifrarlas.
    • Usar políticas de retención y verificar las copias de seguridad periódicamente.
  • Permisos de archivo:
    • Asegurarse de que wp-config.php y otros archivos sensibles no sean legibles por el público.
    • Evitar almacenar secretos en archivos bajo el directorio web público.
  • Registro y monitoreo:
    • Habilitar y centralizar registros (registros de acceso, registros de errores).
    • Monitorear actividad de inicio de sesión anómala y solicitudes inusuales de admin/ajax.
  • Estrategia de actualización automatizada:
    • Donde sea posible, habilitar actualizaciones automáticas para correcciones de seguridad (o aplicar automáticamente para plugins críticos).
  • WAF y parches virtuales:
    • Mantener un WAF que pueda implementar parches virtuales cuando las correcciones de plugins aún no estén disponibles para cada sitio.
    • Crear reglas personalizadas para bloquear cargas útiles sospechosas y patrones de explotación conocidos.
  • Acceso a archivos con el menor privilegio para procesos del servidor de aplicaciones: asegurarse de que el usuario del servidor web no pueda leer archivos que no debería necesitar (por ejemplo, limitar el acceso a los directorios de otros sitios).

Comandos y verificaciones de detección prácticos

  • Listar versión del complemento: 
    wp plugin get smart-slider-3 --field=version
  • Encuentra eventos de exportación de admin-ajax en los registros: 
    zgrep -i "admin-ajax.php.*action=actionExportAll" /var/log/nginx/access.log* | cut -d' ' -f1,4,7,11,12
  • Encuentra respuestas grandes recientes (posibles descargas de archivos) de admin-ajax: 
    awk '$7 ~ /admin-ajax.php/ && $10 > 10000 {print $0}' /var/log/nginx/access.log
  • Verifica los permisos de archivo: 
    ls -l wp-config.php
  • Busca copias de seguridad bajo webroot: 
    find . -type f -iname "*.zip" -o -iname "*.sql" -o -iname "*.tar.gz" | less

Cómo ayuda WP-Firewall (nuestros servicios y cómo se relacionan con este incidente)

En WP-Firewall gestionamos miles de sitios de WordPress y mantenemos inteligencia de amenazas en tiempo real. Las formas típicas en que nuestro WAF gestionado y los servicios de seguridad ayudan durante incidentes como CVE-2026-3098 incluyen:

  • Patching virtual rápido: bloqueando automáticamente solicitudes que coinciden con patrones de explotación (por ejemplo, llamadas a admin-ajax con actionExportAll) hasta que cada sitio esté parcheado. Los parches virtuales se aplican de manera central y reducen la ventana de ataque.
  • Reglas de firewall gestionadas ajustadas para WordPress: firmas para detectar recorrido de ruta, uso inusual de admin-ajax y intentos de exfiltración.
  • Escaneo y eliminación de malware: detectar archivos creados o modificados como parte de la explotación y eliminar cargas útiles conocidas.
  • Monitoreo y reporte continuo: notificamos a los propietarios de sitios sobre intentos de explotación y proporcionamos detalles forenses.
  • Recomendaciones de endurecimiento de seguridad y soporte para la implementación.

Si utilizas un WAF gestionado y lo tienes configurado para bloquear los patrones descritos anteriormente, puedes reducir el riesgo mientras implementas el parche del proveedor en tu entorno.

Cronograma sugerido para la respuesta (libro de jugadas recomendado)

  • Dentro de 0–1 horas:
    • Despliega la regla WAF para bloquear la acción de exportación de admin-ajax (o desactiva el plugin).
    • Si existe registro abierto, desactívalo temporalmente.
  • Dentro de 1 a 4 horas:
    • Actualiza Smart Slider 3 a la versión parcheada 3.5.1.34 en todos los sitios afectados.
    • Despliega la mitigación del mu‑plugin si no puedes actualizar de inmediato.
  • Dentro de 24 horas:
    • Audita los registros en busca de signos de explotación y escanea en busca de archivos sospechosos.
    • Rota las credenciales si se expusieron archivos sensibles.
  • Dentro de 72 horas:
    • Restaura cualquier sitio comprometido desde copias de seguridad limpias si es necesario.
    • Refuerza los controles de registro y acceso de usuarios.
  • En curso:
    • Monitorea la actividad maliciosa de seguimiento e inscribe los sitios en un programa de WAF/monitoreo gestionado.

FAQ — respuestas rápidas

P: ¿Funciona esta explotación sin iniciar sesión?
R: No. El problema reportado requiere una cuenta autenticada (Suscriptor). Sin embargo, muchos sitios permiten un registro fácil, o los atacantes pueden usar el credential stuffing para obtener acceso de bajo privilegio.

P: ¿Qué pasa si no uso Smart Slider 3?
R: No estás afectado por esta vulnerabilidad específica. Sin embargo, el consejo más amplio (principio de menor privilegio, WAF, copias de seguridad, monitoreo) sigue siendo relevante.

P: Actualicé el plugin — ¿es suficiente?
R: Actualizar a la versión 3.5.1.34 o posterior es el parche para esta vulnerabilidad. Después de actualizar, verifica que no haya signos de explotación previa y rota las credenciales si encontraste evidencia de exfiltración de datos.

P: No puedo actualizar de inmediato — ¿cuál es la mejor solución temporal?
R: Aplica una regla de WAF que bloquee la acción de exportación y/o despliega el fragmento del mu‑plugin anterior para denegar solicitudes no administrativas al endpoint actionExportAll.

Asegura tu sitio ahora — comienza con WP‑Firewall Free

¿Interesado en protección inmediata sin costo inicial? El plan Básico (Gratis) de WP‑Firewall te brinda protección esencial: un firewall gestionado (WAF), ancho de banda ilimitado para verificaciones de seguridad, un escáner de malware integrado y capacidades de mitigación específicas para los riesgos del OWASP Top 10. Eso significa que mientras actualizas plugins y realizas remediaciones, nuestro WAF puede ayudar a bloquear patrones de explotación conocidos y reducir tu exposición. Regístrate en el plan gratuito ahora y obtén una capa de protección automatizada: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesitas más automatización — eliminación automática de malware, lista negra/blanca de IP avanzada, informes de seguridad mensuales, parches virtuales automáticos y complementos premium — nuestros planes de pago están disponibles para equipos y agencias.)

Lista de verificación final — qué hacer ahora (resumen accionable)

  1. Actualiza inmediatamente Smart Slider 3 a 3.5.1.34 (o la última disponible).
  2. Si no puedes actualizar ahora:
    • Desactive el plugin o despliegue el mu‑plugin para bloquear la acción de exportación para no administradores.
    • Aplique reglas WAF/ModSecurity/nginx para bloquear solicitudes que contengan action=actionExportAll o patrones de recorrido de ruta.
  3. Revise los registros en busca de llamadas “actionExportAll” y descargas grandes de admin‑ajax — investigue cualquier coincidencia.
  4. Verifique los permisos de archivo y elimine copias de seguridad públicas del webroot.
  5. Rote las credenciales y revoque los tokens de API si wp-config.php o archivos de respaldo eran descargables.
  6. Escanee en busca de webshells y signos de compromiso; restaure desde una copia de seguridad limpia si es necesario.
  7. Endurezca las registraciones, imponga contraseñas fuertes y considere MFA para usuarios administradores.
  8. Inscríbase en un WAF gestionado o servicio de monitoreo de seguridad para reducir la ventana de ataque en futuras vulnerabilidades.

Si necesita ayuda para aplicar estas mitigaciones, necesita ayuda con el triaje forense, o quiere que implementemos parches virtuales en su flota mientras actualiza, los ingenieros de seguridad de WP‑Firewall están disponibles para ayudar. Asegure su sitio rápidamente con nuestro inicio de protección gratuito y actualice cuando esté listo: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Mantenerse seguro,
Equipo de seguridad de firewall WP

Referencias y recursos (para administradores)

  • Smart Slider 3: actualice a 3.5.1.34 (parche del proveedor) — aplique de inmediato.
  • CVE-2026-3098 — descarga de archivo arbitrario a través de actionExportAll.

(Nota: Esta publicación es un aviso técnico independiente del proveedor y está destinada a ayudar a los propietarios de sitios de WordPress a priorizar e implementar mitigaciones rápidamente. Si depende de un alojamiento gestionado, coordine con su proveedor para aplicar las correcciones y escanear en busca de compromisos.)

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™