Resumen ejecutivo
Se ha identificado una vulnerabilidad de exposición de información sensible en el plugin Element Pack para Elementor, afectando a versiones hasta la 5.5.6. Esta vulnerabilidad tiene una severidad media, con un CVSS de 5.3.
Fuente base de datos: Wordfence Intelligence
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) <= 5.5.6 - Sensitive Information Exposure via element_pack_ajax_search
PLUGIN
MEDIUM
CVE-2024-2966
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en el manejo inadecuado de las solicitudes AJAX en el plugin, permitiendo que un atacante obtenga información sensible del servidor. La superficie de ataque se centra en las funcionalidades de búsqueda del plugin, donde se pueden filtrar datos no autorizados.
Impacto potencial
La explotación de esta vulnerabilidad puede comprometer la información sensible de los usuarios y afectar la reputación del negocio. Además, puede facilitar ataques adicionales si se obtienen credenciales o datos críticos.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a las funciones AJAX del plugin, lo que les permite acceder a información que debería estar restringida.
Mitigación recomendada
Se recomienda actualizar el plugin a la versión 5.6.0 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar las configuraciones de seguridad y limitar el acceso a las funciones AJAX del plugin.
Señales de detección
Señales de riesgo incluyen registros de acceso inusuales a las funciones AJAX del plugin y la aparición de datos sensibles en las respuestas de las solicitudes.
Alcance afectado
Las versiones del plugin Element Pack para Elementor hasta la 5.5.6 están afectadas. La versión 5.6.0 y posteriores corrigen esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.3.17 - Authenticated (Contributor+) Arbitrary File Read
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons <= 8.3.13 - Cross-Site Request Forgery
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.3.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Open Street Map widget
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.2.5 - Authenticated (Subscriber+) Blind Server-Side Request Forgery
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons and Templates <= 8.1.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Open Street Map Widget Marker Content
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.0.0 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via data-caption Attribute
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor – Best Elementor addons with Ready Templates, Blocks, Widgets and WooCommerce Builder <= 5.11.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid, Carousel and Remote Arrows) <= 5.10.29 - Authenticated (Contributor+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto