Numerosos sitios web afectados tras la detección de una vulnerabilidad en Smart Slider 3 de WordPress

El incidente se dio a conocer a finales de marzo de 2026, cuando diversos medios especializados en ciberseguridad comenzaron a alertar sobre una vulnerabilidad crítica en el plugin Smart Slider 3, ampliamente utilizado en el ecosistema de WordPress. El fallo fue catalogado con el identificador CVE-2026-3098, lo que indica que había sido registrado formalmente en bases de datos de vulnerabilidades. Desde el primer momento, se destacó la magnitud del problema debido a la enorme cantidad de instalaciones activas del plugin afectado, lo que generó preocupación en la comunidad de administradores web y especialistas en seguridad.

El problema radica en una vulnerabilidad que permitía a usuarios con permisos limitados acceder a archivos sensibles del sistema, facilitando así el robo de credenciales y otros datos críticos. Se estima que más de 500.000 sitios web podrían haber estado expuestos, dentro de un total de más de 800.000 instalaciones del plugin. Los principales afectados han sido administradores de sitios web que utilizaban versiones vulnerables del plugin, especialmente aquellos que no contaban con medidas de seguridad adicionales. Tras la divulgación del fallo, se activaron los protocolos habituales de respuesta: notificación a los desarrolladores, difusión en canales de ciberseguridad y previsiblemente la publicación de actualizaciones para corregir la vulnerabilidad, junto con recomendaciones de mitigación como la actualización inmediata y la revisión de accesos.

El incidente parece estar en fase de contención, siempre que los administradores hayan aplicado las actualizaciones correspondientes y revisado posibles accesos indebidos. No obstante, persiste el riesgo para aquellos sitios que continúan utilizando versiones desactualizadas del plugin, lo que podría facilitar ataques oportunistas incluso después de la divulgación pública.