| Nombre del plugin | WordPress Prime Slider – Complementos para el plugin Elementor |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios (XSS) |
| Número CVE | CVE-2026-4341 |
| Urgencia | Medio |
| Fecha de publicación de CVE | 2026-04-07 |
| URL de origen | CVE-2026-4341 |
WordPress Prime Slider ≤ 4.1.10 — XSS almacenado autenticado a través de follow_us_text (CVE-2026-4341)
Resumen: Una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que afecta a Prime Slider – Complementos para Elementor (≤ 4.1.10) permite a los usuarios autenticados con privilegios de nivel autor (o superiores) inyectar scripts a través del parámetro follow_us_text. Registrada como CVE-2026-4341; corregida en 4.1.11. Este aviso explica el riesgo, la detección, la remediación, las búsquedas y ejemplos prácticos de parches virtuales.
Antecedentes e impacto
El 7 de abril de 2026 se divulgó una vulnerabilidad XSS almacenada que afecta a Prime Slider – Complementos para Elementor (versiones hasta e incluyendo 4.1.10). El plugin almacenó un valor del parámetro follow_us_text sin suficiente saneamiento o escape de salida. Un usuario autenticado (nivel autor o superior) podría inyectar HTML/JavaScript que se almacena y se ejecuta posteriormente en los navegadores de otros usuarios cuando se renderiza el valor.
El problema está registrado como CVE-2026-4341 y se corrigió en la versión 4.1.11. Aunque el CVSS reportado es moderado (~5.9), el XSS almacenado es de alto riesgo en la práctica: los atacantes pueden robar tokens de sesión, actuar como administradores, persistir redirecciones o instalar puertas traseras adicionales.
Quién está en riesgo
- Sitios que ejecutan la versión 4.1.10 o anterior del plugin Prime Slider – Complementos para Elementor.
- Sitios que permiten a usuarios autenticados no administradores (Autor/Contribuyente) crear o editar contenido del slider.
- Sitios donde follow_us_text se renderiza en páginas vistas por administradores, editores o visitantes no autenticados.
- Redes multisitio donde el plugin está activo en la red.
Incluso sitios de bajo tráfico pueden ser objetivo o descubiertos por escaneos automatizados. Trátelo como algo accionable: verifique versiones y aplique parches rápidamente.
Cómo funciona la vulnerabilidad (a alto nivel)
- follow_us_text es una configuración del plugin/campo editable guardado en la base de datos (opciones, postmeta o configuraciones del plugin).
- El manejo de entradas no sanitiza ni escapa adecuadamente las entradas peligrosas (etiquetas de script, atributos de eventos).
- En la salida, el HTML/JS almacenado se ejecuta en los navegadores de los visitantes. La persistencia hace que la carga útil sea efectiva a través de sesiones.
- Un atacante a nivel de autor puede inyectar una carga útil que se ejecuta cuando los administradores u otros usuarios privilegiados ven el control deslizante.
- Las consecuencias incluyen robo de cookies, secuestro de sesiones, acciones privilegiadas al estilo CSRF, o entrega de cargas útiles secundarias.
Escenarios de explotación y objetivos del atacante
- Escalación de privilegios: capturar la sesión/cookies del administrador cuando el administrador ve las páginas afectadas.
- Caída de malware persistente: inyectar scripts que cargan malware externo, anuncios o spam.
- Ingeniería social y redirecciones: mostrar mensajes falsos de administrador o redirigir a sitios de phishing/monetizados.
- Envenenamiento de SEO / inserción de spam: ocultar enlaces o contenido que degrada la reputación y las clasificaciones.
- Entrega de segunda etapa: usar XSS para realizar acciones autenticadas (subir plugin, cambiar opciones).
Detección segura e indicadores de compromiso
Enfocarse en el contenido almacenado y señales de comportamiento:
