CVE-2026-3425 es una vulnerabilidad de Local File Inclusion (LFI) con severidad CVSS 8.8 que afecta al plugin RTMKit Addons for Elementor en todas sus versiones hasta la 2.0.2. Descubierta y reportada por Wordfence, permite a un atacante con acceso de nivel Author o superior incluir y ejecutar archivos PHP arbitrarios en el servidor mediante el parámetro path de la acción AJAX get_content.
En 30 segundos
- Plugin afectado: RTMKit Addons for Elementor, versiones hasta 2.0.2 inclusive.
- Tipo de falla: Local File Inclusion (LFI) — el parámetro
pathen la acción AJAXget_contentno valida la entrada. - Severidad: CVSS v3.1 base score 8.8 (Alto), con impacto máximo en confidencialidad, integridad y disponibilidad.
- Quiénes están expuestos: Sitios con el plugin activo y usuarios registrados con rol Author o superior.
- Solución: Actualizar a RTMKit Addons for Elementor 2.0.3 o superior. Wordfence ya incluye la regla de firewall.
Wordfence es un plugin de seguridad para WordPress que implementa un firewall de aplicación web (WAF), realiza análisis de malware y monitorea vulnerabilidades. Detecta y bloquea intentos de acceso no autorizado, inyección de código y actividad maliciosa.
CVE-2026-3425: Vulnerabilidad LFI en RTMKit Addons for Elementor
RTMKit Addons for Elementor es un plugin de WordPress que extiende las funcionalidades del page builder Elementor con widgets y bloques adicionales. La vulnerabilidad CVE-2026-3425 fue reportada y publicada por el equipo de inteligencia de amenazas de Wordfence, que identifica y documenta fallas en el ecosistema WordPress de forma sistemática. Wordfence no es el fabricante del plugin; es quien encontró y divulgó el problema.
El vector de ataque pasa por una acción AJAX registrada por el plugin, get_content, cuyo parámetro path no aplica ningún tipo de sanitización ni restricción de ruta. El archivo comprometido, según el repositorio oficial de WordPress, es Inc/Core/PluginApi.php en la línea 50.
¿Qué es Local File Inclusion y por qué permite ejecución de código?
LFI es una clase de vulnerabilidad donde una aplicación web toma una ruta de archivo como parámetro de entrada y la usa directamente para incluir contenido, sin verificar qué archivo se está pidiendo. El resultado es que podés pedirle al servidor que «incluya» cualquier archivo que esté accesible en el sistema de archivos.
Cuando PHP ejecuta un include() o require() con una ruta controlada por el atacante, el impacto varía según qué archivos haya disponibles. En un servidor WordPress típico, eso incluye wp-config.php (con credenciales de base de datos), archivos .env con tokens de API, configuraciones de plugins con claves privadas, y cualquier archivo PHP que el atacante haya podido subir previamente. Si existe un mecanismo de upload (el editor de WordPress tiene varios), el atacante puede subir un PHP disfrazado de imagen y después incluirlo para ejecutarlo.
La diferencia con Remote File Inclusion (RFI) es que LFI se limita al sistema de archivos local del servidor. Eso sí: en muchos casos alcanza. (Spoiler: wp-config.php solo ya es suficiente para comprometer todo el sitio.)
Detalles técnicos: el parámetro ‘path’ y la acción AJAX get_content
El problema concreto está documentado en el changeset 3474369 del repositorio de WordPress, que corresponde al parche aplicado en la versión 2.0.3. En la versión vulnerable, la función que maneja la acción AJAX get_content recibía el parámetro path directamente del request y lo usaba para incluir contenido sin validación de rutas.
El flujo técnico es bastante directo: el plugin registra la acción AJAX como disponible para usuarios autenticados (no solo admins), el parámetro path llega crudo desde el request HTTP, y PHP lo incluye. Cualquier string válido como ruta de archivo funciona, incluyendo rutas absolutas y relativas con ../ para traversal. Consultá nuestra comparativa de soluciones WAF disponibles.
Todas las versiones hasta 2.0.2 inclusive están afectadas. No hay versión «parcialmente vulnerable» — o tenés 2.0.3 o estás expuesto.
Severidad CVSS 8.8: desglose del vector y qué significa en la práctica
El vector CVSS v3.1 asignado es AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, lo que da un score base de 8.8. Desglosado:
| Métrica | Valor | Lo que significa |
|---|---|---|
| Vector de acceso (AV) | Network (N) | El ataque se ejecuta de forma remota, sin acceso físico |
| Complejidad de acceso (AC) | Low (L) | No requiere condiciones especiales; es repetible |
| Privilegios requeridos (PR) | Low (L) | Necesita una cuenta WordPress con rol mínimo Author |
| Interacción de usuario (UI) | None (N) | No necesita que nadie más haga nada |
| Alcance (S) | Unchanged (U) | El impacto no salta a otros sistemas directamente |
| Confidencialidad (C) | High (H) | Acceso total a archivos sensibles del servidor |
| Integridad (I) | High (H) | Ejecución de PHP arbitrario modifica datos y estado |
| Disponibilidad (A) | High (H) | El sitio puede quedar inutilizable tras un ataque |
Lo que baja el score de crítico (9+) a 8.8 es el requisito de privilegios bajos (PR:L). Pero ojo: «bajo» en CVSS significa que basta con una cuenta registrada cualquiera, no que sea difícil de obtener.
Quiénes están expuestos: el rol Author no es tan inofensivo como parece
Ponele que gestionás un blog WordPress con varios colaboradores. Tenés redactores con rol Author que publican contenido regularmente. Ninguno tiene acceso al panel de administración completo. Hasta acá todo parece bajo control.
Con CVE-2026-3425 activo, cualquiera de esos redactores puede ejecutar una petición AJAX con un path arbitrario y leer wp-config.php con las credenciales de la base de datos. Desde ahí, si tiene acceso a la base de datos o puede inyectar código en posts, el sitio entero está comprometido. Tema relacionado: detectar malware en WordPress.
Los escenarios de riesgo más frecuentes son: agencias digitales con múltiples autores, sitios con registro abierto, plugins de membresía que crean usuarios automáticamente, y cualquier instalación donde no se revise qué cuentas existen. También incluye cuentas comprometidas por credential stuffing (contraseñas reutilizadas en otras brechas). ¿Alguien verifica periódicamente qué usuarios tipo Author están activos en su WordPress? La mayoría, no.
Cómo un atacante explota CVE-2026-3425 paso a paso
El flujo de ataque es técnicamente sencillo. Primero, el atacante necesita credenciales válidas de nivel Author o superior — conseguibles por fuerza bruta, credential stuffing, phishing, o simplemente registrándose en un sitio abierto. Después, hace una petición autenticada a la acción AJAX get_content pasando una ruta arbitraria en el parámetro path.
Las rutas de mayor impacto inmediato incluyen ../../../../wp-config.php para obtener el usuario y contraseña de la base de datos, archivos .env de plugins como WooCommerce con claves de pasarelas de pago, y archivos de configuración de plugins con tokens de API. Si además el sitio permite subir archivos a ubicaciones accesibles (lo cual WordPress hace por defecto en la carpeta uploads/), el atacante puede subir un PHP con extensión .jpg y después incluirlo para ejecutar código arbitrario en el servidor.
Subís el archivo, mandás el path, el servidor lo ejecuta, y de repente tenés una shell en el servidor del sitio. No es ciencia ficción ni requiere herramientas sofisticadas — cualquier petición curl o Burp Suite alcanza.
Qué está confirmado y qué no sobre CVE-2026-3425
| Aspecto | Estado | Detalle |
|---|---|---|
| Plugin afectado | Confirmado | RTMKit Addons for Elementor, hasta versión 2.0.2 |
| Tipo de vulnerabilidad (LFI) | Confirmado | Documentado por Wordfence con ID 396ecd5b |
| Parche disponible | Confirmado | Versión 2.0.3, changeset 3474369 en el repo oficial |
| Score CVSS 8.8 | Confirmado | Vector completo publicado por INCIBE y Wordfence |
| Explotación activa en la red | No confirmado | Sin reportes públicos de ataques masivos a mayo 2026 |
| PoC público disponible | No confirmado | No hay exploit publicado en fuentes abiertas hasta ahora |
Cómo proteger tu sitio WordPress de CVE-2026-3425 vulnerabilidad WordPress
La acción más directa es actualizar RTMKit Addons for Elementor a la versión 2.0.3 o superior. El parche ya está publicado en el repositorio oficial y el changeset está disponible para revisar exactamente qué cambió en la validación del parámetro path. Más contexto en vulnerabilidades críticas de WordPress.
Si no usás el plugin activamente, desinstalarlo es la opción más limpia. Un plugin que no corre no puede ser explotado. Esto aplica especialmente si RTMKit quedó instalado como parte de un theme o kit de Elementor que ya no usás.
Para protección adicional, si tenés Wordfence activo con reglas actualizadas, la falla está cubierta por el firewall de aplicación web (WAF). Wordfence publicó la regla de firewall correspondiente al momento de la divulgación. Si usás hosting en donweb.com, verificá que el WAF de la cuenta esté habilitado como capa adicional.
Las otras medidas de hardening relevantes para este caso puntual:
- Revisá qué usuarios tienen rol Author o superior y desactivá las cuentas que no reconocés.
- Activá autenticación de dos factores para todos los roles con acceso al admin.
- Monitoreá los logs del servidor buscando requests a
wp-admin/admin-ajax.phpcon el parámetroaction=get_content. - Si usás un plugin de seguridad con auditoría de actividad (como Wordfence o WP Activity Log), habilitá las alertas para acciones AJAX de usuarios con bajos privilegios.
Errores comunes al gestionar este tipo de vulnerabilidades
Error 1: «El plugin tiene pocas instalaciones, no va a ser un objetivo». Los scripts de escaneo masivo no discriminan por popularidad. Rastrean el archivo readme.txt de cada plugin instalado para identificar la versión y compararla contra bases de datos de vulnerabilidades. Si tu sitio tiene RTMKit 2.0.2, aparece en los resultados de cualquier scan automatizado.
Error 2: Parchear sin revisar si ya fueron comprometidos. Si la actualización llega tarde, el daño puede estar hecho. Antes de actualizar y cerrar el tema, revisá los logs de acceso de los últimos días buscando requests a admin-ajax.php con parámetros sospechosos. Un ataque LFI exitoso deja rastros si sabés dónde mirar.
Error 3: Confiar en que «nadie tiene el rol Author en este sitio». Muchos plugins de e-commerce, membresías o formularios crean usuarios automáticamente con roles que incluyen capacidades de Author. Revisá con SELECT user_login, meta_value FROM wp_usermeta WHERE meta_key='wp_capabilities' qué usuarios existen realmente y qué roles tienen asignados.
Esto se relaciona con CVE-2026-3425, donde entramos en más detalle.
Mirá nuestro análisis completo sobre CVE-2026-3425 para entender mejor cómo proteger tu sitio.
Preguntas Frecuentes
¿Qué es CVE-2026-3425 y qué plugin afecta?
CVE-2026-3425 es una vulnerabilidad de Local File Inclusion en el plugin RTMKit Addons for Elementor para WordPress. Afecta todas las versiones hasta la 2.0.2 inclusive y fue reportada por Wordfence. El problema está en el parámetro path de la acción AJAX get_content, que no valida la ruta recibida antes de incluir el archivo correspondiente. Lo explicamos a fondo en proteger tu sitio contra DDoS.
¿Cuál es la severidad de la vulnerabilidad LFI en RTMKit?
La severidad CVSS v3.1 es 8.8 (Alto), con impacto máximo en confidencialidad, integridad y disponibilidad del servidor. El único factor que baja el score de crítico es el requisito de una cuenta autenticada con rol mínimo Author. El vector completo es CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
¿Qué versiones de RTMKit Addons están vulnerables?
Todas las versiones hasta 2.0.2 inclusive están afectadas. La versión 2.0.3 incluye el parche. Podés verificar la versión activa en tu sitio desde el panel de WordPress en Plugins > Plugins instalados, o consultando el changeset oficial con los cambios aplicados.
¿Cómo evitar que exploten la vulnerabilidad en mi sitio?
Actualizá RTMKit a 2.0.3 o superior de inmediato. Si no usás el plugin, desinstalalo. Con Wordfence activo y reglas al día, el WAF bloquea el intento de explotación. Además, revisá que los usuarios con rol Author sean personas de confianza y activá 2FA para todas las cuentas con acceso al admin.
¿Qué es Local File Inclusion en WordPress?
Local File Inclusion (LFI) es una vulnerabilidad donde el código de un plugin o theme incluye archivos del servidor usando una ruta controlada por el atacante, sin validación. En WordPress, permite acceder a archivos como wp-config.php con credenciales de base de datos, o ejecutar archivos PHP arbitrarios si el atacante logró subir uno previamente. No requiere acceso directo al servidor, solo una petición HTTP con la ruta correcta.
Conclusión
CVE-2026-3425 es una vulnerabilidad concreta, con parche disponible y con un vector de ataque que no requiere conocimientos avanzados para explotar. Si tenés RTMKit Addons for Elementor instalado en cualquier versión hasta 2.0.2, la actualización a 2.0.3 no es opcional.
El punto que más me preocupa de esta falla no es la complejidad técnica, sino que está en una acción AJAX disponible para cualquier usuario autenticado con rol Author o superior. Muchos sitios WordPress acumulan cuentas de ese nivel sin auditarlas: redactores que dejaron de trabajar, cuentas de prueba, usuarios creados automáticamente por plugins. Cada una de esas cuentas es una superficie de ataque potencial mientras el plugin vulnerable esté activo.
Actualizá, auditá los usuarios activos, y si Wordfence ya está instalado, verificá que las reglas de firewall estén al día. Con eso cerrás el vector antes de que alguien lo use.
Fuentes
- Wordfence Threat Intelligence — CVE-2026-3425 detalle completo
- INCIBE-CERT — Alerta temprana CVE-2026-3425
- WordPress Plugin Repository — Changeset 3474369 (parche RTMKit 2.0.3)
- WordPress Plugin Repository — PluginApi.php línea 50 (archivo vulnerable)
- Patchstack — RTMKit Addons for Elementor historial de vulnerabilidades