Se ha detectado una vulnerabilidad de seguridad crítica en el plugin de WordPress Avada (Fusion) Builder, que afecta a más de 1 millón de sitios web. El fallo, identificado como CVE-2026-8713 con una puntuación CVSS de 9.1, permite ataques de eliminación arbitraria de archivos, lo que podría derivar en la ejecución remota de código y el compromiso total del sitio.

Agencias internacionales de seguridad, en la "Operación Endgame", limpiaron casi 15,000 sitios de WordPress y desmantelaron más de 100 servidores vinculados a la botnet SocGholish y al grupo ruso Evil Corp. Esta acción conjunta entre Países Bajos, EE. UU., Canadá y Alemania busca frenar la propagación de malware y proteger infraestructuras críticas. El ataque operaba engañando a usuarios con falsas actualizaciones de navegadores para infectar sus sistemas.

Están explotando activamente una vulnerabilidad de exposición de información sensible en el plugin de WordPress Gravity SMTP. El ataque afecta a más de 100,000 sitios con el objetivo de recolectar datos de configuración y credenciales de correo electrónico. El fallo, identificado como CVE-2026-4020 y con una calificación de riesgo medio (5.3), impacta a todas las versiones del plugin hasta la 2.1.4.

La CISA advirtió sobre una falla crítica en el editor JCE de Joomla que permite la ejecución de código PHP por usuarios no autenticados, recomendando actualizar a la versión 2.9.99.5. Paralelamente, se reportaron ataques de cadena de suministro contra plugins de WordPress y la inyección de webshells para manipular servidores. Estos últimos ataques buscan monetizar sitios mediante redes de blogs privados y enlaces ocultos de SEO.

Un ataque de cadena de suministro a gran escala ha afectado a plugins de WordPress muy utilizados, exponiendo a más de 1,2 millones de sitios web a posibles compromisos. Los atacantes lograron inyectar código malicioso en archivos JavaScript legítimos distribuidos a través de infraestructuras de CDN confiables. Según investigadores de Sansec, la campaña se centró en plugins desarrollados por Awesome Motive, tales como OptinMonster, TrustPulse y PushEngage.

Un atacante manipuló archivos JavaScript de los plugins PushEngage, OptinMonster y TrustPulse para tomar el control de sitios de WordPress. Al detectar a un administrador conectado, el código creaba una cuenta de admin maliciosa e instalaba un plugin oculto para ejecutar comandos remotamente. Se recomienda a los usuarios realizar un escaneo directo del servidor y revisar el sistema de archivos para eliminar cuentas y carpetas sospechosas.

Están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) en el plugin de WordPress Everest Forms Pro. Este fallo, identificado como CVE-2026-3300 con una puntuación CVSS de 9.8, permite que atacantes no autenticados inyecten y ejecuten código PHP arbitrario en sitios vulnerables. La falla afecta a todas las versiones hasta la 1.9.12.

Se ha detectado una nueva campaña de malware dirigida a sitios web de WordPress. Los atacantes utilizan un método innovador para comunicarse con los sitios infectados, ocultando las instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam, transformando así una plataforma de videojuegos popular en un canal de control encubierto.

Se ha detectado una vulnerabilidad crítica en el plugin de WordPress Kirki (versiones 6.0.0 a 6.0.6), identificada como CVE-2026-8206 con una puntuación de riesgo de 9.8. Este fallo expone a más de 500,000 sitios web a posibles ataques de toma de control de cuentas, estimándose que aproximadamente 150,000 sitios son activamente vulnerables.

Una vulnerabilidad crítica (CVE-2026-8732) en el plugin WP Maps Pro (versiones 6.1.0 y anteriores) permite a atacantes crear cuentas de administrador sin autenticación. El fallo se debe a una función de "acceso temporal" mal implementada, facilitando el control total del sitio web. Se recomienda actualizar urgentemente a la **versión 6.1.1**, ya que se han detectado miles de intentos de explotación.

Se ha descubierto una vulnerabilidad crítica en el plugin de WordPress Burst Statistics, una herramienta de análisis enfocada en la privacidad. El fallo, identificado como CVE-2026-8181 y detectado el 8 de mayo de 2026 por la plataforma PRISM de Wordfence, expone a más de 200.000 sitios web al riesgo de que atacantes tomen el control total de las cuentas mediante el bypass de autenticación.

El plugin de WordPress Avada Builder, utilizado en más de un millón de sitios web, presenta dos vulnerabilidades graves. Según el investigador Rafie Muhammad, estos fallos podrían permitir que atacantes roben datos sensibles y accedan a archivos del servidor mediante inyecciones SQL y lectura de archivos. Se advierte que los sitios que no apliquen los parches de seguridad podrían ser explotados activamente.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código JavaScript malicioso en las páginas de pago de WooCommerce. El objetivo es robar datos de tarjetas de crédito y direcciones de facturación mediante scripts disfrazados de Google Tag Manager. Se recomienda actualizar el plugin a la versión 3.15.0.3 y revisar los scripts externos configurados.

Están explotando una vulnerabilidad crítica (CVE-2026-8181) en el plugin de WordPress Burst Statistics, que permite obtener acceso de administrador sin contraseña. Este fallo afecta a las versiones 3.4.0 y 3.4.1, permitiendo la creación de cuentas fraudulentas y el robo de datos. Se recomienda actualizar urgentemente a la **versión 3.4.2** o desactivar el plugin para evitar ataques.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código malicioso en las páginas de pago de WooCommerce para robar datos de tarjetas y clientes. El fallo afecta a versiones anteriores a la 3.15.0.3 y puede ser explotado sin autenticación. Se recomienda actualizar el plugin inmediatamente y revisar la configuración de "External Scripts" para eliminar cualquier código sospechoso.

Se han detectado dos vulnerabilidades críticas en el plugin Avada Builder de WordPress que afectan a cerca de un millón de sitios. La primera permite a usuarios autenticados leer archivos sensibles del servidor, mientras que la segunda es una inyección SQL que permite extraer datos de la base de datos sin autenticación. Se recomienda a los administradores actualizar urgentemente a la versión 3.15.3 para solucionar estos fallos.

El Centro de Ciberseguridad de Australia (ACSC) advierte sobre una campaña de malware que utiliza la técnica "ClickFix" para distribuir el software espía **Vidar Stealer**. Los atacantes usan sitios de WordPress comprometidos y falsos CAPTCHAs para engañar a los usuarios y lograr que ejecuten comandos maliciosos de PowerShell. Se recomienda restringir el uso de PowerShell, mantener actualizados los plugins de WordPress y aplicar listas de aplicaciones permitidas.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Se detectó la explotación activa de la vulnerabilidad CVE-2026-0740 (CVSS 9.8) en el plugin Ninja Forms File Uploads para WordPress, permitiendo subida arbitraria de archivos sin autenticación y posible ejecución remota de código (RCE), poniendo en riesgo miles de sitios.