Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Sky Addons for Elementor <= 2.6.1 - Authenticated (Contributor+) Sensitive Information Exposure via Content Switcher Widget Elementor Template

PLUGIN MEDIUM CVE-2024-9542

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de exposición de información sensible en el plugin 'Sky Addons for Elementor' en versiones hasta la 2.6.1. Esta falla afecta a usuarios autenticados con rol de colaborador o superior, permitiendo el acceso no autorizado a datos sensibles a través del widget de cambio de contenido.

Contexto técnico

La vulnerabilidad se localiza en el widget de cambio de contenido del plugin, permitiendo que los usuarios con permisos de colaborador o superiores accedan a información sensible que debería estar restringida. Esto se debe a una falta de controles adecuados en la validación de permisos para acceder a ciertos datos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados acceder a información sensible, lo que podría comprometer la privacidad de los datos y la integridad del sistema. Esto podría resultar en daños a la reputación de la empresa y posibles repercusiones legales.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al widget de cambio de contenido con credenciales de usuario autenticado, lo que les permite visualizar información que no deberían poder ver.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.6.2 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de hardening en la gestión de roles y capacidades dentro de WordPress.

Señales de detección

Señales de riesgo incluyen intentos inusuales de acceso a datos sensibles por parte de usuarios con roles de colaborador, así como registros de acceso a funciones del plugin que no deberían ser accesibles para esos usuarios.

Alcance afectado

Las versiones del plugin 'Sky Addons for Elementor' hasta la 2.6.1 están afectadas. Las instalaciones que utilicen estas versiones corren el riesgo de exposición de información sensible.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 3.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Widgets

Ver ficha
MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 3.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

sky-elementor-addons

Sky Addons for Elementor (Free Templates Library, Live Copy, Animations, Post Grid, Post Carousel, Particles, Sliders, Chart, Blogs) <= 2.6.1 - Cross-Site Request Forgery to Limited Arbitrary Options Update

Ver ficha
HIGH PLUGIN

sky-elementor-addons

Sky Addons for Elementor (Free Templates Library, Live Copy, Animations, Post Grid, Post Carousel, Particles, Sliders, Chart, Blogs) <= 2.6.2 - Missing Authorization to Authenticated (Subscriber+) Limited Arbitrary Options Update

Ver ficha
MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.15 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.11 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.5.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

sky-elementor-addons

Sky Addons for Elementor <= 2.4.0 - Authenticated(Contributor+) Stored Cross-site scripting via Wrapper Link URL

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad