El CVE-2026-4811 es una vulnerabilidad de XSS almacenado en el plugin WPB Floating Menu & Categories for WordPress que afecta todas las versiones hasta 1.0.8 inclusive. Publicada el 20 de mayo de 2026 por Wordfence Threat Intelligence, tiene un score CVSS v3.1 de 4.9 (medio) y requiere acceso con nivel Editor para ser explotada. La versión segura es 1.0.9 o superior.
En 30 segundos
- Plugin afectado: WPB Floating Menu & Categories for WordPress, versiones hasta 1.0.8
- Vector de ataque: campo «Icon CSS Class» en la configuración de categorías, sin sanitización ni escape de salida
- Quién puede atacar: usuarios autenticados con nivel Editor o superior en tu WordPress
- Qué pasa si lo explotan: JavaScript malicioso se almacena en la base de datos y se ejecuta en el navegador de cualquier visitante que vea esa página
- Solución inmediata: actualizar a la versión 1.0.9 o superior desde el panel de Plugins
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence Inc. que proporciona protección contra malware, ataques de fuerza bruta, vulnerabilidades de plugins y ofrece un firewall de aplicación web para sitios WordPress.
Qué es CVE-2026-4811 y por qué importa
CVE-2026-4811 es el identificador oficial asignado a una falla de Cross-Site Scripting (XSS) almacenado en el plugin WPB Floating Menu & Categories – Sticky Floating Side Menu & Categories with Icons, un plugin que añade menús flotantes laterales en WordPress. La falla fue descubierta y publicada el 20 de mayo de 2026, según el registro de INCIBE-CERT.
Antes de seguir, una distinción que viene al caso: el XSS almacenado es distinto del XSS reflejado. En el reflejado, el código malicioso viaja en la URL y solo afecta a quien hace clic en ese link específico. En el almacenado, el script se guarda en la base de datos del sitio y se ejecuta automáticamente cada vez que cualquier visitante carga la página afectada. Es persistente. Eso lo hace más peligroso.
El score CVSS v3.1 es 4.9, que técnicamente cae en «severidad media». Ojo con eso: el número puede tranquilizarte más de lo que debería. El vector completo es AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N, lo que significa que el impacto sobre confidencialidad es alto. Alguien que explote esto puede robar cookies de sesión, credenciales guardadas en el navegador o tokens de autenticación de los visitantes de tu sitio.
Plugin afectado y versiones vulnerables
El plugin en cuestión es WPB Floating Menu or Categories – Sticky Side Menu with Icons, disponible en el repositorio oficial de WordPress.org. Su función es mostrar un menú flotante lateral con íconos, muy usado en tiendas WooCommerce para mostrar categorías de productos.
| Versión | Estado |
|---|---|
| 1.0.8 y anteriores | Vulnerable — actualizar de inmediato |
| 1.0.9 y posteriores | Parcheado — versión segura |
Si tu sitio tiene activa cualquier versión hasta la 1.0.8, está en riesgo. Podés verificarlo desde Plugins > Plugins instalados en tu panel de WordPress.
El campo vulnerable: Icon CSS Class y por qué nadie lo miraba
Ponele que sos Editor en un WordPress con este plugin. Vas a Productos > Categorías, entrás a editar una categoría y ahí, casi al final del formulario, hay un campo llamado «Icon CSS Class». La idea del campo es que escribas una clase de CSS (tipo fas fa-shield) para asignar un ícono de Font Awesome a esa categoría en el menú flotante. Ya lo cubrimos antes en comparar WAF para mayor protección.
El problema es que ese campo, según el código fuente de la versión 1.0.8, no tiene sanitización de entrada ni escape de salida. Nada. Un Editor puede escribir <script>documento.malicioso()</script> y WordPress lo va a guardar tal cual en la base de datos. Después, cuando cualquier visitante cargue una página que muestre ese menú flotante, el script se ejecuta en su navegador.
¿Por qué nadie lo miraba? Porque los campos de configuración de categorías generalmente reciben strings simples de CSS. No son los típicos vectores de ataque que pensás en primer lugar. Pero un atacante con acceso de Editor sí los mira.
Cómo funciona el ataque paso a paso
El flujo es más simple de lo que parece:
- Paso 1: El atacante tiene (o compromete) una cuenta con rol Editor o superior en el WordPress objetivo.
- Paso 2: Va a la configuración de una categoría de productos y en el campo «Icon CSS Class» inyecta código JavaScript en lugar de una clase CSS legítima.
- Paso 3: WordPress guarda ese valor sin validación en la base de datos.
- Paso 4: Cada visitante que cargue cualquier página donde aparezca ese menú flotante ejecuta el script involuntariamente en su navegador.
- Paso 5: El script puede robar cookies, redirigir a phishing, registrar teclas, o cualquier cosa que JavaScript pueda hacer en el contexto de ese dominio.
El vector PR:H (Privilegios Requeridos: Altos) baja el score, claro. Pero en entornos con múltiples editores, agencias que gestionan varios sitios, o cuentas comprometidas por credential stuffing, ese requerimiento no es la barrera que uno quisiera.
Quién está en riesgo: roles de WordPress y superficie de ataque
Para explotar CVE-2026-4811 necesitás como mínimo rol de Editor en el WordPress afectado. Eso incluye:
- Editor: puede gestionar categorías y contenido. Es el rol mínimo necesario.
- Administrador: tiene acceso total. Si hay un administrador malintencionado, hay problemas mucho más grandes, pero la falla sigue aplicando.
- Super Admin (en Multisite): ídem.
Los roles Autor y Colaborador no tienen acceso a la edición de taxonomías de categorías por defecto, así que no pueden explotar esta falla directamente. Dicho esto, si tenés una tienda WooCommerce con varios editores de contenido, o si trabajás con una agencia que tiene acceso editorial, el riesgo es concreto. Sobre eso hablamos en detectar y limpiar código malicioso.
Lo que no cambia: las víctimas son los visitantes comunes de tu sitio, que no tienen que hacer nada para que el script se ejecute. Entran a cualquier página que muestre el menú flotante infectado y listo (si es que eso tranquiliza a alguien).
Cómo saber si tu sitio está afectado
Verificar la exposición lleva menos de dos minutos:
- Entrá a tu panel de WordPress y andá a Plugins > Plugins instalados.
- Buscá «WPB Floating Menu». Si está instalado y activo, fijate la versión que figura debajo del nombre.
- Si la versión es 1.0.8 o cualquier número menor, el sitio es vulnerable.
- Revisá también qué usuarios tienen rol de Editor o superior: Usuarios > Todos los usuarios y filtrá por rol.
Si querés automatizar la detección, tanto Wordfence como WPScan tienen esta vulnerabilidad en su base de datos de amenazas. Un escaneo con cualquiera de los dos te va a marcar el plugin si la versión es vieja.
Cómo arreglar la vulnerabilidad: actualización a 1.0.9
La solución es directa: actualizar el plugin a la versión 1.0.9 o posterior, que ya incluye la sanitización y el escape correctos en el campo «Icon CSS Class».
- Desde tu panel: Plugins > Plugins instalados > WPB Floating Menu > Actualizar.
- O desde Dashboard > Actualizaciones, donde vas a ver el plugin listado si hay una versión nueva disponible.
- Después de actualizar, verificá que el menú flotante siga mostrándose bien en el frontend de tu sitio.
- Si tenés acceso a los logs de servidor o a los logs de Wordfence, revisá actividad sospechosa en el período previo a la actualización: ediciones de categorías por usuarios inesperados, scripts extraños en campos de texto.
El parche fue liberado, así que no hay excusa para demorar la actualización. Si usás un servicio de hosting con WordPress gestionado, como los planes de WordPress en donweb.com, verificá si las actualizaciones automáticas de plugins están habilitadas para tu plan, aunque de todos modos conviene hacerla manual esta vez para confirmar que todo quedó bien.
Medidas adicionales contra XSS en WordPress
Actualizar el plugin es lo urgente. Pero si querés cerrar bien la ventana, hay algunas capas adicionales que valen la pena: Tema relacionado: reportes de vulnerabilidades recientes.
- Wordfence o Sucuri: ambos tienen reglas de firewall que pueden bloquear intentos de inyección XSS en campos de formulario, incluso antes de que lleguen a la base de datos.
- Content Security Policy (CSP): si configurás una CSP estricta en tu servidor, un script inyectado por XSS almacenado no va a poder ejecutarse si el dominio del recurso no está en la lista blanca. Requiere configuración en el servidor o en un plugin de headers HTTP.
- Auditar roles de usuario periódicamente: menos Editores activos significa menos superficie de ataque para este tipo de vulnerabilidad. Si alguien dejó de trabajar en el sitio, revocá el acceso.
- Actualizaciones automáticas para plugins críticos: podés habilitarlas desde WordPress 5.5 en adelante, o usar el filtro
auto_update_pluginen functions.php. - Plugin Prevent XSS Vulnerability (u equivalente): agrega una capa de sanitización adicional sobre inputs que otros plugins podrían descuidar.
Ninguna de estas medidas reemplaza actualizar el plugin. Son capas de defensa, no sustitutos.
Errores comunes al manejar esta vulnerabilidad
Confiar en que «score 4.9 medio» significa riesgo bajo
El score CVSS agrega todos los factores en una sola cifra y eso puede distorsionar la lectura. El 4.9 viene del requerimiento de privilegios altos (PR:H), que baja el número. Pero el impacto en confidencialidad es alto (C:H). Si tenés editores externos o cuentas comprometidas, ese PR:H no te protege tanto como creés.
Actualizar y no verificar el resultado
Algunos plugins después de una actualización mayor resetean configuraciones o rompen la visualización del menú. Actualizá, sí, pero después andá al frontend y verificá que el menú flotante siga apareciendo donde debe. También revisá que los íconos de categorías estén bien renderizados.
No revisar si ya fue explotado antes de parchear
Si tardaste en actualizar, existe la posibilidad de que alguien ya haya inyectado código. Actualizar el plugin corta la vía de inyección futura, pero no limpia lo que ya está almacenado. Revisá el campo «Icon CSS Class» de todas tus categorías y borrate cualquier valor que no sea una clase CSS legítima (tipo fas fa-tag). Esto se conecta con lo que analizamos en mitigar ataques DDoS coordinados.
Esto se conecta con CVE-2026-4811, donde cubrimos el tema en detalle.
Preguntas Frecuentes
¿Qué es el CVE-2026-4811 en WordPress?
CVE-2026-4811 es una vulnerabilidad de XSS almacenado en el plugin WPB Floating Menu & Categories for WordPress, publicada el 20 de mayo de 2026. Afecta todas las versiones hasta 1.0.8 y permite que un usuario con rol Editor inyecte scripts maliciosos en el campo «Icon CSS Class» de las categorías. Esos scripts se ejecutan en el navegador de cualquier visitante que cargue una página con el menú afectado.
¿Está mi sitio afectado por el CVE-2026-4811?
Si tenés instalado y activo el plugin WPB Floating Menu or Categories en versión 1.0.8 o anterior, sí. Verificalo en Plugins > Plugins instalados. Si la versión es 1.0.9 o posterior, el parche ya está aplicado y no estás expuesto a esta falla específica.
¿Cómo actualizar WPB Floating Menu para arreglar la vulnerabilidad?
Desde el panel de WordPress, andá a Plugins > Plugins instalados, buscá WPB Floating Menu y hacé clic en «Actualizar». También podés ir a Dashboard > Actualizaciones y actualizar desde ahí. Después de actualizar, verificá que el menú flotante siga funcionando en el frontend del sitio.
¿Qué permisos necesita un atacante para explotar CVE-2026-4811?
Necesita como mínimo el rol de Editor en el WordPress afectado. Roles de Autor o Colaborador no tienen acceso a la edición de categorías por defecto, así que no pueden aprovechar esta falla directamente. El requerimiento de privilegios altos reduce el score CVSS, pero en sitios con múltiples editores o cuentas comprometidas el riesgo sigue siendo real.
¿Cómo proteger mi WordPress contra XSS almacenado en plugins?
La capa principal es mantener todos los plugins actualizados. Encima de eso: usá un firewall de aplicaciones web como Wordfence, implementá una Content Security Policy (CSP) en el servidor, auditá periódicamente los roles de usuario para eliminar accesos innecesarios y, si podés, habilitá actualizaciones automáticas para plugins en entornos de confianza.
Conclusión
CVE-2026-4811 es un recordatorio de que las vulnerabilidades no siempre viven en los plugins más grandes o más usados. Un campo de configuración aparentemente inofensivo, sin el escape correcto, es suficiente para abrir una puerta a XSS almacenado. El parche existe, la versión 1.0.9 está disponible, y actualizar lleva menos de un minuto.
Si gestionás varios sitios WordPress, este es buen momento para revisar cuántos tienen este plugin activo y en qué versión. Y de paso, hacé el ejercicio de mirar cuántos usuarios tienen rol de Editor en cada uno: cada Editor es un vector de ataque potencial para cualquier vulnerabilidad que requiera PR:H.
Fuentes
- INCIBE-CERT — CVE-2026-4811, registro oficial con vector CVSS y descripción técnica
- Wordfence Threat Intelligence — análisis de la vulnerabilidad CVE-2026-4811
- WordPress Plugin Trac — código fuente del campo vulnerable en category-icon.php, línea 41
- WordPress.org — página oficial del plugin WPB Floating Menu or Categories
- WP Firewall — análisis técnico del XSS en el plugin de menú flotante, mayo 2026