CVE-2026-3722 es una vulnerabilidad de tipo Stored Cross-Site Scripting en el plugin Auto Image Attributes From Filename With Bulk Updater para WordPress, con score CVSS 6.4 (MEDIUM). Afecta todas las versiones hasta la 4.9 inclusive y permite que un atacante autenticado con nivel Author o superior inyecte scripts maliciosos persistentes en páginas del sitio.
En 30 segundos
- Plugin afectado: Auto Image Attributes From Filename With Bulk Updater, versiones hasta 4.9 inclusive.
- Tipo de ataque: Stored XSS vía metadatos de imagen; el script queda guardado en la base de datos y se ejecuta cada vez que alguien visita la página infectada.
- CVSS 6.4 MEDIUM, según Wordfence Threat Intelligence e INCIBE-CERT.
- Requisito mínimo para explotar: cuenta autenticada con nivel Author (no funciona sin acceso al sitio).
- Solución: actualizar a la versión posterior a 4.9 desde el repositorio oficial de WordPress.
Wordfence es un plugin de seguridad para WordPress que proporciona firewall, detección de malware y monitoreo de vulnerabilidades, desarrollado por Wordfence, Inc.
Qué es CVE-2026-3722 y por qué importa en WordPress seguridad
CVE-2026-3722 es el identificador oficial asignado a una falla de Stored Cross-Site Scripting descubierta en el plugin Auto Image Attributes From Filename With Bulk Updater. El plugin, disponible en el repositorio oficial de WordPress, automatiza la asignación de atributos de imagen (alt text, título) a partir del nombre de archivo, una funcionalidad bastante útil para sitios que manejan mucho volumen de imágenes o necesitan mejorar su SEO de imágenes.
El problema está en que las versiones hasta 4.9 no sanitizan correctamente los metadatos de los attachments antes de mostrarlos en pantalla. Un usuario con nivel Author puede subir una imagen con metadatos manipulados y plantar un script que se ejecuta cada vez que alguien accede a la página donde aparece ese attachment.
Wordfence publicó el detalle técnico completo. El vector CVSS es AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N, que en palabras simples significa: el ataque viene por red, no requiere condiciones especiales, sí requiere privilegios bajos (Author), no necesita interacción adicional del usuario, y el impacto cruza los límites del componente afectado (Scope Changed). Confidencialidad e integridad impactadas en nivel bajo, disponibilidad no afectada. Score final: 6.4.
Cómo funciona el ataque Stored XSS en Auto Image Attributes
Stored XSS es diferente al Reflected XSS que se ve en muchos ataques de phishing. En el Reflected, el script viaja en la URL y solo se ejecuta si la víctima hace clic en un link manipulado. En el Stored, el payload queda guardado en la base de datos del sitio. Una vez plantado, se ejecuta automáticamente para cualquier visitante que cargue esa página, sin que nadie tenga que hacer nada raro.
El mecanismo concreto acá: el plugin lee los metadatos del archivo de imagen (nombre, EXIF, campos personalizados) y los vuelca en campos de la media library sin aplicar el escaping necesario. Un atacante que puede subir archivos, o editar posts con imágenes ya subidas, puede incluir código JavaScript en esos metadatos. Ese código queda almacenado en la tabla wp_postmeta y se ejecuta cada vez que WordPress renderiza la página con esa imagen. Lo explicamos a fondo en soluciones WAF para proteger tu WordPress.
Las líneas específicas señaladas por INCIBE son columns-media-library.php línea 50 y do.php línea 752. Ambas en el área de administración del plugin.
¿Por qué es peligroso esto aunque el score sea «solo» 6.4? Porque el Scope Changed del vector CVSS significa que el impacto trasciende el plugin en sí. Un script inyectado puede robar cookies de sesión de administradores, crear usuarios con privilegios elevados, redirigir visitantes o inyectar formularios de phishing. Todo eso con una sola imagen bien preparada.
Quién está en riesgo: permisos y contextos de uso
Lo primero que hay que aclarar: esto no es un ataque anónimo. El atacante necesita una cuenta autenticada con nivel Author o superior. Eso cambia bastante el perfil de riesgo.
En un sitio personal donde solo vos publicás, la exposición es casi nula (tendrías que atacarte a vos mismo). El riesgo real aparece en estos escenarios:
- Sitios multi-autor: si tenés freelancers, columnistas invitados o colaboradores con rol Author, cualquiera de ellos puede ser el vector (ya sea comprometido o malintencionado).
- Agencias con múltiples clientes: si la instalación se usa para gestionar contenido de terceros, un acceso Author comprometido en un cliente puede afectar el sitio completo.
- Tiendas WooCommerce con vendedores: algunos setups dan acceso de nivel Author a vendedores para gestionar sus propias imágenes de producto. Ese escenario es vulnerable.
- Sitios de membresía o comunidades: si los miembros pueden subir contenido y tienen rol Author, el ataque es factible.
Los Editors y Admins también pueden explotar la falla (tienen privilegios superiores), pero en esos casos ya tenés otros problemas de confianza.
Versiones afectadas y cuál instalar
Según Wordfence Threat Intelligence, todas las versiones hasta la 4.9 inclusive están afectadas. La divulgación se formalizó en junio de 2026.
| Versión | Estado | Acción recomendada |
|---|---|---|
| 4.9 e inferiores | Vulnerable (CVE-2026-3722) | Actualizar inmediatamente |
| Posterior a 4.9 | Parcheada | Verificar que la actualización se aplicó |
| Sin actualización disponible | Desinstalar temporalmente | Monitorear repositorio oficial |
Para confirmar qué versión tenés instalada, vas a Plugins > Plugins instalados en tu admin de WordPress y buscás «Auto Image Attributes». La versión aparece bajo el nombre del plugin.
Pasos para actualizar y parchar CVE-2026-3722
El proceso tarda menos de 5 minutos. Antes de arrancar, hacé un backup del sitio (si usás WPVivid o cualquier otro sistema de backups, correlo ahora). Es una práctica básica antes de cualquier actualización. Ya lo cubrimos antes en en nuestra guía completa sobre CVEs.
- Paso 1: Ingresá al panel de administración de WordPress.
- Paso 2: Navegá a Plugins > Plugins instalados.
- Paso 3: Buscá «Auto Image Attributes From Filename». Si hay una actualización disponible, vas a ver el aviso en amarillo con el link «Actualizar ahora».
- Paso 4: Hacé clic en «Actualizar ahora» y esperá la confirmación de WordPress.
- Paso 5: Verificá que la versión instalada es la posterior a 4.9 desde la misma pantalla de plugins.
- Paso 6: Recorrés algunas páginas del sitio para confirmar que el plugin sigue funcionando correctamente después del parche.
Si preferís actualizar desde el repositorio directamente, el plugin está en WordPress.org. También podés revisar el historial de releases en GitHub del proyecto para ver exactamente qué cambió en el parche.
Cómo saber si tu sitio ya fue explotado
Ponele que ya tenés la versión vulnerable instalada hace meses y justo te enterás de esto ahora. ¿Cómo sabés si alguien ya metió la mano?
Primero, revisá los logs de actividad de usuarios. Si tenés instalado Wordfence o un plugin de auditoría como WP Activity Log, buscá actividad inusual de cuentas Author en los últimos meses: subidas de imágenes en horarios raros, edición masiva de posts, o actividad desde IPs que no reconocés.
Segundo, hacé una búsqueda en la base de datos. Con acceso a phpMyAdmin o via WP-CLI, podés buscar la presencia de tags <script> en la tabla wp_postmeta:
SELECT * FROM wp_postmeta WHERE meta_value LIKE '%<script%';
Si aparece algo, no paniqueés todavía. Algunos plugins legítimos guardan código HTML en postmeta. Revisá el contexto de cada resultado antes de concluir que fuiste comprometido.
Tercero, fijate si hay páginas del sitio que muestran comportamiento raro: redireccionan a URLs extrañas, cargan recursos externos que no reconocés, o tienen alerts de JavaScript que no pusiste vos. Ese es el síntoma más visible de un XSS activo.
Medidas de defensa más allá del parche
Actualizar el plugin es el paso obligatorio, pero no es lo único que podés hacer. Si tenés Wordfence instalado (que es lo más probable si seguís este blog), el firewall de Wordfence ya tiene reglas para bloquear intentos de XSS conocidos, aunque estas reglas no reemplazan el parche. Sobre eso hablamos en herramientas de escaneo de malware.
Otras capas que vale la pena tener:
- Content Security Policy (CSP): un header HTTP que le dice al navegador qué scripts puede ejecutar. Si configurás un CSP estricto, los scripts inyectados por XSS no se ejecutan aunque estén en la página. Se configura a nivel de servidor o con plugins como Headers Security Advanced.
- Revisión periódica de roles de usuario: auditá quién tiene nivel Author o superior en tu sitio. Muchas veces quedan cuentas viejas de colaboradores que ya no trabajan con vos. Menos cuentas activas = menos superficie de ataque.
- Actualizaciones automáticas de plugins: WordPress tiene la opción de aplicar actualizaciones de plugins automáticamente. Para plugins de seguridad y plugins con historial de vulnerabilidades, tiene sentido activarla.
- WAF a nivel de hosting: si tu proveedor ofrece un Web Application Firewall a nivel de infraestructura (como donweb.com en sus planes gestionados), esa capa adicional puede bloquear payloads XSS antes de que lleguen a WordPress.
Eso sí: ninguna de estas medidas reemplaza el parche. Son capas defensivas, no alternativas.
Qué está confirmado y qué no
| Aspecto | Estado | Detalle |
|---|---|---|
| Existencia de la vulnerabilidad | Confirmado | Wordfence e INCIBE-CERT publicaron el CVE con detalles técnicos |
| Versiones afectadas (hasta 4.9) | Confirmado | Documentado en la base de datos oficial de Wordfence |
| Score CVSS 6.4 MEDIUM | Confirmado | Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
| Exploits activos en la naturaleza | No confirmado | No hay reportes públicos de explotación masiva a junio de 2026 |
| Versión parcheada disponible | Pendiente verificación | Revisá el repositorio oficial y GitHub del plugin para confirmar que el parche ya está publicado |
Errores comunes al responder a este tipo de vulnerabilidades
Error 1: Ignorarlo porque el CVSS «es solo 6.4». Un 6.4 MEDIUM no significa «irrelevante». Significa que hay condiciones que limitan el impacto (como requerir autenticación), pero el daño posible sigue siendo real. Un script inyectado puede comprometer sesiones de admin. No es para tomar a la ligera.
Error 2: Suponer que el plugin no está instalado sin verificarlo. La cantidad de plugins instalados en un WordPress típico es alta, y muchos se instalan, se prueban y se olvidan. Antes de concluir que no tenés este plugin, revisalo en el panel. Los plugins desactivados pero no desinstalados también representan superficie de ataque. Ampliamos el tema en reproducir esta vulnerabilidad en laboratorio.
Error 3: Actualizar sin backup previo. Las actualizaciones de plugins casi nunca rompen nada, pero «casi nunca» no es «nunca». Si la actualización del parche introduce un conflicto con otro plugin o con el tema, vas a querer tener un backup reciente para volver atrás rápido.
Error 4: No revisar si hay explotación previa. Actualizar el plugin cierra la falla, pero si alguien ya la aprovechó antes del parche, el código malicioso sigue en tu base de datos. La actualización no limpia lo que ya se inyectó. ¿Alguien lo verificó después de parchear? Hacelo vos.
Preguntas Frecuentes
¿Qué es CVE-2026-3722?
CVE-2026-3722 es una vulnerabilidad de Stored Cross-Site Scripting en el plugin Auto Image Attributes From Filename With Bulk Updater para WordPress. Afecta todas las versiones hasta la 4.9 inclusive y permite que usuarios autenticados con nivel Author o superior inyecten scripts maliciosos persistentes en páginas del sitio mediante metadatos de imágenes mal sanitizados. El score CVSS es 6.4 (MEDIUM). Cubrimos ese tema en detalle en en el reporte de vulnerabilidades de mayo.
¿Está mi WordPress afectado por CVE-2026-3722?
Tu sitio está afectado si tenés instalado el plugin Auto Image Attributes From Filename With Bulk Updater en versión 4.9 o anterior. Para verificarlo, ingresá a tu admin de WordPress, navegá a Plugins > Plugins instalados y buscá ese plugin. Si la versión instalada es 4.9 o menor, necesitás actualizar.
¿Cómo actualizar Auto Image Attributes para corregir la vulnerabilidad?
Desde el admin de WordPress, ir a Plugins > Plugins instalados, localizar Auto Image Attributes From Filename, y hacer clic en «Actualizar ahora» si hay una nueva versión disponible. El proceso demora menos de un minuto. Antes de actualizar, hacé un backup del sitio por precaución.
¿Es peligroso seguir usando el plugin Auto Image Attributes?
Con la versión 4.9 o anterior instalada, sí existe riesgo real si tu sitio tiene usuarios con rol Author o superior que no son de confianza total. Un Stored XSS puede permitir robo de sesiones de administrador, inyección de código malicioso o redirecciones no autorizadas. Actualizar el plugin a la versión parcheada resuelve el problema.
¿Un atacante anónimo puede explotar CVE-2026-3722?
No. Esta vulnerabilidad requiere una cuenta autenticada en el sitio WordPress con nivel Author como mínimo. Un visitante anónimo no puede explotarla directamente. El riesgo se concentra en sitios con múltiples autores, colaboradores externos, o cualquier instalación donde usuarios no plenamente confiables tengan acceso de escritura al sitio.
Conclusión
CVE-2026-3722 no es el tipo de vulnerabilidad que derrumba un sitio con un solo click anónimo desde internet. Requiere acceso autenticado y eso limita el perfil de riesgo. Pero en sitios multi-autor, agencias o cualquier instalación donde más de una persona tiene acceso al panel, la amenaza es real y concreta: un script inyectado en la media library puede persistir durante semanas y afectar a todos los visitantes de las páginas infectadas.
La respuesta correcta es directa: actualizá el plugin, verificá que no haya payload ya inyectado en tu base de datos, y aprovechá para revisar qué cuentas de usuario activas realmente necesitan tener nivel Author o superior. Cinco minutos de trabajo ahora evitan problemas mucho más costosos de limpiar después.