Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo divulgación de publicaciones en el plugin Enter Addons para Elementor, que afecta a las versiones hasta la 2.1.9. Esta vulnerabilidad tiene una severidad media, con un CVSS de 4.3.
Fuente base de datos: Wordfence Intelligence
Enter Addons – Ultimate Template Builder for Elementor <= 2.1.9 - Authenticated (Contributor+) Post Disclosure
PLUGIN
MEDIUM
CVE-2024-10868
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior acceder a publicaciones que deberían estar restringidas. Esto se debe a una falta de control adecuado sobre los permisos de acceso a ciertos recursos dentro del plugin.
Impacto potencial
El potencial impacto incluye la exposición no autorizada de contenido sensible, lo que podría comprometer la integridad de la información publicada y afectar la reputación del negocio. Además, podría facilitar ataques de ingeniería social si se divulga información confidencial.
Vector de explotación
Generalmente, esta vulnerabilidad se explota a través de cuentas de usuario autenticadas que tienen privilegios de colaborador o superiores, permitiendo la consulta de publicaciones que deberían estar ocultas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Enter Addons a la versión 2.2.0 o superior. Además, es aconsejable revisar los roles y permisos asignados a los usuarios para asegurar que no se otorguen privilegios innecesarios.
Señales de detección
Señales de riesgo incluyen intentos inusuales de acceso a publicaciones por parte de usuarios con rol de colaborador, así como logs de acceso que muestren actividades sospechosas relacionadas con la consulta de contenido restringido.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 2.2.0 del plugin Enter Addons, específicamente aquellas hasta la 2.1.9.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.3.2 - Cross-Site Request Forgery
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown and Image Comparison Widgets
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.1.9 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.1.8 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
enteraddons
Enter Addons – Ultimate Template Builder for Elementor <= 2.1.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Events Card Widget
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.1.9 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
enteraddons
Enter Addons <= 2.1.6 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
enteraddons
Enter Addons – Ultimate Template Builder for Elementor <= 2.1.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Animation Title widget img tag
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto