Essential Addons for Elementor, un popular complemento para la construcción de páginas en WordPress, ha sido afectado por una vulnerabilidad de severidad alta que podría permitir que atacantes inyecten código malicioso en los navegadores de los usuarios.
- CVE-2025-24752 (CVSS 7.1) Se trata de un ataque de Cross-Site Scripting (XSS), causado por una validación insuficiente del argumento de consulta «popup-selector» en el archivo src/js/view/general.js. Antes del parche, el plugin insertaba este valor sin verificaciones adicionales, permitiendo la inyección de código JavaScript malicioso.
Productos y versiones afectadas:
- Versiones anteriores a la 6.0.15.
Solución:
- Actualizar a la versión 6.0.15.
Recomendaciones:
- Mantener siempre actualizados los plugins y temas de WordPress para minimizar riesgos de seguridad.
- Implementar herramientas de seguridad adicionales como firewalls de aplicación web (WAF) para detectar y bloquear intentos de explotación.
- Revisar periódicamente los registros de actividad del sitio web para identificar posibles intentos de acceso malicioso.
Referencias:
- https://securityonline.info/cve-2025-24752-massive-wordpress-plugin-vulnerability-exposes-millions-to-xss-attacks/
- https://patchstack.com/articles/reflected-xss-patched-in-essential-addons-for-elementor-affecting-2-million-sites/
- https://www.infosecurity-magazine.com/news/elementor-plugin-vulnerability-2m/