Plataforma
wordpress
Componente
fusion-builder
Corregido en
3.15.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin Fusion Builder de ThemeFusion. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web generadas por el plugin, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta a las versiones de Fusion Builder anteriores o iguales a la 3.15.0, y se ha solucionado en la versión 3.15.0.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. El impacto potencial es significativo, especialmente en sitios web con un alto tráfico o que manejan información sensible. La ejecución de scripts maliciosos podría comprometer la integridad y confidencialidad de los datos del usuario.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza de XSS reflejado la hace susceptible a ataques oportunistas. No se ha añadido a KEV a la fecha. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Websites utilizing the ThemeFusion Fusion Builder plugin, particularly those with user input fields or dynamic content generation, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others. Sites using older, unpatched versions of Fusion Builder are especially vulnerable.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/fusion-builder/• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=active | grep fusion-builder• wordpress / composer / npm:
wp plugin update fusion-builderdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal es actualizar Fusion Builder a la versión 3.15.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se pueden implementar reglas en un Web Application Firewall (WAF) para filtrar las entradas de usuario que contengan código JavaScript sospechoso. Además, revise y sanee las entradas de usuario en el código del plugin para prevenir futuras inyecciones de XSS. Después de la actualización, verifique la funcionalidad del sitio web y asegúrese de que no haya errores inesperados.
Actualizar a la versión 3.15.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32542 is a Reflected XSS vulnerability in ThemeFusion Fusion Builder affecting versions up to 3.15.0. It allows attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Fusion Builder version 3.15.0 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade Fusion Builder to version 3.15.0 or later. Implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's nature suggests a medium probability of exploitation. Continuous monitoring is recommended.
Refer to the ThemeFusion website and WordPress plugin repository for the latest security advisories and updates regarding CVE-2026-32542.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.