Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Premium Addons for Elementor <= 4.10.38 - Missing Authorization to Authenticated (Contributor+) Arbitrary Content Deletion and Arbitrary Title Update

PLUGIN MEDIUM CVE-2024-6824

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Premium Addons for Elementor, que permite la eliminación arbitraria de contenido y la actualización de títulos sin la autorización adecuada para usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad tiene una puntuación CVSS de 4.3, lo que indica un riesgo medio.

Contexto técnico

El fallo se origina en la falta de controles de autorización en ciertas funciones del plugin, permitiendo a usuarios con privilegios insuficientes realizar acciones que deberían estar restringidas. Esto afecta principalmente a las operaciones de eliminación de contenido y modificación de títulos.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de contenido crítico y en la alteración de la estructura de la web, afectando la integridad de la información y la confianza de los usuarios en la plataforma. Esto puede tener repercusiones negativas en la reputación y en el negocio en general.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al autenticarse como usuarios con rol de colaborador o superior y ejecutar solicitudes maliciosas que desencadenen la eliminación de contenido o la modificación de títulos sin la debida autorización.

Mitigación recomendada

Se recomienda actualizar el plugin Premium Addons for Elementor a la versión 4.10.39 o superior para mitigar la vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la gestión de roles y capacidades.

Señales de detección

Se deben monitorizar los registros de actividad del plugin para detectar patrones inusuales de eliminación de contenido o cambios en títulos que no correspondan a acciones autorizadas por los administradores.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.10.39 del plugin Premium Addons for Elementor.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.63 - Missing Authorization to Authenticated (Subscriber+) Settings Update

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.53 - Cross-Site Request Forgery via 'insert_inner_template'

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.53 - Missing Authorization to Unauthenticated Sensitive Information Exposure via 'get_template_content'

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.53 - Unauthenticated Information Exposure

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.10.69 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown Widget

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.10.56 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.10.60 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via Video Box Widget

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad