CVE-2026-7659 es una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Advanced Social Media Icons para WordPress, que afecta todas las versiones hasta la 1.2 inclusive. Un atacante con acceso de Contributor puede inyectar scripts maliciosos en páginas del sitio que se ejecutan para cualquier visitante, según el registro oficial de INCIBE-CERT.
En 30 segundos
- Plugin afectado: Advanced Social Media Icons, versión 1.2 y anteriores
- Tipo de vulnerabilidad: XSS almacenado vía shortcode
[social], sin sanitización de atributos - Quién puede atacar: cualquier usuario con rol Contributor o superior, no necesita ser administrador
- Impacto: inyección de scripts que se ejecutan para todos los visitantes del sitio
- Solución: actualizar a una versión superior a 1.2 o desinstalar el plugin si no lo usás
Wordfence es un plugin de seguridad para WordPress que monitorea vulnerabilidades, protege contra malware y funciona como firewall de aplicaciones web. Detecta intentos de ataque en tiempo real.
¿Qué es CVE-2026-7659?
CVE-2026-7659 es el identificador oficial asignado a una falla de seguridad del tipo Stored Cross-Site Scripting en el plugin Advanced Social Media Icons para WordPress. La vulnerabilidad fue documentada y publicada por Wordfence Threat Intelligence e incorporada al registro de INCIBE-CERT bajo el vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N.
La raíz del problema está en el shortcode [social] que ofrece el plugin. Los atributos que recibe ese shortcode no pasan por sanitización de entrada ni por escapado de salida adecuado, lo que permite a un atacante autenticado meter código JavaScript arbitrario que queda grabado en la base de datos y se ejecuta cada vez que alguien visita la página afectada.
El plugin Advanced Social Media Icons y su shortcode vulnerable
Advanced Social Media Icons es un plugin de WordPress cuyo objetivo es simple: mostrar íconos de redes sociales en páginas o entradas usando el shortcode [social]. Nada especialmente complejo, el tipo de plugin que instalás una vez, lo configurás y te olvidás. El problema es justamente ese olvido.
Según el código fuente disponible en el repositorio de plugins de WordPress, la función en functions.php (línea 40) procesa los atributos del shortcode sin aplicar las funciones de escape estándar de WordPress como esc_attr() o wp_kses(). Resultado: cualquier valor que le pasés al shortcode, incluso JavaScript, termina renderizándose directo en el HTML de la página.
Ponele que un Contributor crea una entrada con el shortcode así: [social link="javascript:alert(document.cookie)"]. Eso queda almacenado. Cuando cualquier visitante abre esa página, el script corre en su navegador.
Cómo funciona el ataque XSS almacenado
Hay dos variantes principales de XSS: el reflejado y el almacenado. El reflejado requiere que la víctima haga clic en un link especialmente armado, lo que limita bastante el alcance. El almacenado (como este) es más peligroso porque el script malicioso se guarda en la base de datos del sitio y se ejecuta automáticamente para cualquier persona que visite la página comprometida.
En el caso de CVE-2026-7659, el flujo de ataque es así: el atacante inicia sesión con una cuenta Contributor, crea o edita una entrada o página, mete el shortcode [social] con atributos manipulados que contienen JavaScript, guarda el contenido. A partir de ese momento, cada visitante que cargue esa página recibe y ejecuta el script malicioso sin saberlo, sin hacer clic en nada, sin ninguna interacción especial. En nuestra comparativa entre Wordfence y Sucuri profundizamos sobre esto.
¿Y qué puede hacer ese script? Robar cookies de sesión, redirigir a sitios de phishing, inyectar formularios falsos, descargar malware. Lo que el atacante quiera codificar ahí.
¿Quién puede explotar esta vulnerabilidad?
El vector CVSS indica PR:L, lo que significa que se requieren privilegios bajos pero existentes. No es una vulnerabilidad que cualquier persona en internet pueda explotar sin tener una cuenta en el sitio. El atacante necesita al menos un rol de Contributor.
Eso suena tranquilizador hasta que pensás en los escenarios reales:
- Sitios con múltiples colaboradores: blogs de equipo, sitios de noticias, o cualquier WordPress donde distintas personas publican contenido. Un colaborador descontento o con malas intenciones tiene todo lo que necesita.
- Cuentas comprometidas: si un Contributor usa la misma contraseña de siempre y esa contraseña aparece en alguna filtración (hay miles por año), el atacante externo tiene la puerta abierta.
- Spam de registros: si tu sitio permite registros abiertos y asigna el rol Contributor por defecto, cualquiera se puede registrar y explotar esto.
El alcance marcado como S:C (Scope Changed) en el vector CVSS indica que el impacto trasciende el contexto del plugin en sí: el script puede afectar a los visitantes de la página, que son externos al sistema WordPress directamente. Eso eleva la criticidad del hallazgo.
CVSS y severidad: lo que dicen los números
El vector completo es CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N. Desglosado:
| Métrica | Valor | Qué significa |
|---|---|---|
| AV (Attack Vector) | N — Network | El ataque se puede hacer desde internet |
| AC (Attack Complexity) | L — Low | No requiere condiciones especiales ni timing |
| PR (Privileges Required) | L — Low | Necesita una cuenta con privilegios bajos (Contributor) |
| UI (User Interaction) | N — None | La víctima no necesita hacer ninguna acción |
| S (Scope) | C — Changed | El impacto va más allá del componente vulnerable |
| C (Confidentiality) | L — Low | Puede exponer información parcial (cookies, tokens) |
| I (Integrity) | L — Low | Puede modificar contenido visible o redirigir |
| A (Availability) | N — None | No afecta la disponibilidad del sitio |
La puntuación base queda en rango medio-alto. No llega a crítica porque requiere autenticación y el impacto en confidencialidad e integridad es parcial. Lo que la hace relevante es el S:C: cuando el alcance cambia, el impacto se extiende a usuarios que no tienen nada que ver con WordPress. Tema relacionado: vulnerabilidades recientes en WordPress.
¿Cómo saber si tu sitio está en riesgo?
Es rápido de verificar. Entrá al panel de WordPress, andá a Plugins > Plugins instalados, y buscá «Advanced Social Media Icons». Si aparece y está activo, revisá el número de versión que figura debajo del nombre. Si es 1.2 o menor, el sitio tiene la vulnerabilidad.
Si no recordás haberlo instalado pero aparece activo, ojo. A veces los plugins quedan de instalaciones anteriores o los pone un desarrollador y nadie lo registra. La página del plugin en WordPress.org tiene el historial de versiones disponibles.
Wordfence también lo tiene indexado en su base de datos de vulnerabilidades, así que si tenés el plugin de seguridad instalado y actualizado, debería alertarte. Si no tenés Wordfence ni ningún monitor similar, este es un buen momento para plantearte si querés seguir operando a ciegas.
Soluciones y pasos de mitigación
Lo más directo: actualizar el plugin a una versión posterior a 1.2 en cuanto esté disponible. Si al momento de leer esto no existe una versión parcheada publicada en WordPress.org, la siguiente opción es desactivar y desinstalar el plugin.
Seamos honestos: si no usás activamente este plugin o no sabés para qué lo instalaron, desinstalarlo es la decisión más limpia. Un plugin sin uso activo es superficie de ataque sin beneficio.
Otras medidas de mitigación mientras esperás una versión parcheada:
- Revisá quién tiene rol Contributor o superior en tu sitio. Si hay cuentas que no reconocés, desactivarlas ahora.
- Auditá las páginas recientes que usan el shortcode
[social]. Si ves contenido extraño o scripts inyectados, limpiá la base de datos. - Activá autenticación de dos factores para todos los usuarios con acceso editorial. Con 2FA, una contraseña comprometida sola no alcanza.
- Instalá Wordfence o equivalente para monitoreo de vulnerabilidades en tiempo real.
Si tu sitio corre en un hosting con buenas herramientas de seguridad, chequeá también si ofrecen firewall a nivel servidor o WAF. Algunos proveedores como donweb.com tienen capas de protección que pueden mitigar intentos de explotación incluso antes de que lleguen a WordPress.
Contexto: XSS en plugins WordPress en 2026
CVE-2026-7659 no es un caso aislado. Según datos del reporte semanal de vulnerabilidades de abril-mayo 2026, se registraron 87 vulnerabilidades en una sola semana, y XSS sigue siendo el tipo más frecuente. En lo que va de 2026, se reportaron 11.334 nuevas vulnerabilidades en el ecosistema WordPress, un 42% más que en 2024.
El tiempo promedio entre divulgación pública y primer intento de explotación es de 5 horas. Cinco horas. El margen para reaccionar es mínimo, lo que hace que el monitoreo proactivo valga mucho más que cualquier revisión manual mensual. Relacionado: protección contra ataques DDoS.
Advanced Social Media Icons es exactamente el tipo de plugin que escapa al radar: no es Yoast, no es WooCommerce, no aparece en las listas de «los 10 plugins más usados». Es un plugin de nicho que alguien instaló hace dos años para poner íconos en el pie de página y nadie volvió a revisar. (Y ahí está la ironia: los plugins «pequeños» que nadie monitorea son los que más tiempo pasan expuestos.)
Mirá el estado de tus plugins ahora mismo: ¿cuántos tienen actualizaciones pendientes? Si son más de tres, ya tenés trabajo.
Errores comunes frente a este tipo de vulnerabilidades
Error 1: «Mi sitio es chico, nadie lo va a atacar.» Los ataques a WordPress son masivos y automatizados. Los bots escanean miles de sitios por hora buscando shortcodes vulnerables, versiones desactualizadas, endpoints expuestos. El tamaño del sitio no importa, la versión del plugin sí.
Error 2: «Solo desactivo el plugin, no hace falta desinstalarlo.» Un plugin desactivado no ejecuta código, pero si la versión vulnerable sigue instalada y en algún momento alguien lo reactiva por error, el riesgo vuelve. Desinstalarlo es más limpio.
Error 3: «Mis Contributors son de confianza, esto no me aplica.» La confianza no protege contra contraseñas comprometidas. Si alguno de tus Contributor usó la misma contraseña en otro servicio que tuvo una filtración de datos, su cuenta puede estar en manos de alguien más sin que él lo sepa. El control de acceso mínimo necesario y el 2FA no son paranoia, son higiene. Esto se conecta con lo que analizamos en otros CVEs similares en plugins.
Si querés profundizar en esta vulnerabilidad, tenemos un análisis detallado sobre CVE-2026-7659.
Esto se conecta con CVE-2026-7659, donde cubrimos cómo impactó a los usuarios.
Profundizá en el tema con nuestro artículo sobre CVE-2026-7659.
Si querés profundizar en esto, tenemos un artículo completo sobre CVE-2026-7659.
Preguntas Frecuentes
¿Qué es CVE-2026-7659 y cómo afecta mi WordPress?
CVE-2026-7659 es una vulnerabilidad de XSS almacenado en el plugin Advanced Social Media Icons para WordPress, presente en todas las versiones hasta la 1.2. Permite que un usuario con rol Contributor inyecte scripts maliciosos en páginas del sitio, que luego se ejecutan para cualquier visitante sin necesidad de ninguna interacción adicional.
¿Cuál es el riesgo real del plugin Advanced Social Media Icons?
El riesgo es la ejecución de JavaScript arbitrario en el navegador de los visitantes del sitio. Un atacante puede robar cookies de sesión, redirigir tráfico a sitios maliciosos o inyectar contenido falso. El vector CVSS:3.1 con Scope Changed indica que el impacto va más allá del plugin en sí y afecta a usuarios externos al sistema WordPress.
¿Qué versión del plugin Advanced Social Media Icons es segura?
Cualquier versión superior a la 1.2 debería incluir el fix. Al momento de la publicación de este CVE, la versión 1.2 es la última disponible en WordPress.org y es la vulnerable. Si no existe una versión parcheada publicada, lo más seguro es desinstalar el plugin hasta que aparezca el parche.
¿Qué tipo de ataque es el XSS almacenado y en qué se diferencia del reflejado?
En el XSS reflejado, el script malicioso viaja en la URL y solo afecta a quien hace clic en ese link. En el XSS almacenado, el script queda grabado en la base de datos del sitio y se ejecuta para todos los que visiten la página comprometida, sin que tengan que hacer nada. El almacenado tiene mayor alcance y es más difícil de detectar a simple vista.
¿Cómo puedo saber si mi sitio está vulnerable a este XSS?
Entrá a Plugins > Plugins instalados en el panel de WordPress y buscá «Advanced Social Media Icons». Si está instalado y la versión es 1.2 o anterior, el sitio tiene la vulnerabilidad. También podés cruzar tu lista de plugins contra la base de datos de vulnerabilidades de Wordfence, que tiene este CVE indexado con el ID 999c2207-6d45-4b46-8fe1-03682a949c5c.
Conclusión
CVE-2026-7659 es un recordatorio de algo que se repite semana tras semana en WordPress: los plugins pequeños y olvidados son vectores de ataque tan válidos como cualquier componente central. Advanced Social Media Icons no es un plugin de alta visibilidad, pero su falla de sanitización en el shortcode [social] es suficiente para comprometer a todos los visitantes de un sitio.
El vector de ataque requiere autenticación, lo que limita el riesgo a escenarios con Contributors maliciosos o cuentas comprometidas. No es crítico en el sentido de «cualquiera desde internet puede explotarlo sin cuenta», pero tampoco es algo para ignorar. Con 11.334 vulnerabilidades reportadas en lo que va de 2026 y un tiempo de explotación de 5 horas desde la divulgación, el margen para postergar actualizaciones es básicamente cero.
Si tenés este plugin instalado: actualizá o desinstalá hoy. Si no lo tenés: revisá igual cuántos plugins inactivos o desactualizados hay en tu sitio. Probablemente más de los que creés.
Fuentes
- INCIBE-CERT — CVE-2026-7659, registro oficial de vulnerabilidad
- Wordfence Threat Intelligence — detalle técnico de la vulnerabilidad
- WordPress.org — página oficial del plugin Advanced Social Media Icons
- Trac WordPress — código fuente functions.php línea 40 (versión 1.2)
- Seguridadenwordpress.com — Reporte semanal vulnerabilidades abril-mayo 2026