Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Element Pack para Elementor, que afecta a versiones hasta la 5.10.12. Esta falla podría permitir accesos no autorizados a funcionalidades críticas del plugin.
Fuente base de datos: Wordfence Intelligence
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) <= 5.10.12 - Missing Authorization
PLUGIN
MEDIUM
CVE-2024-11852
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de controles de autorización adecuados, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. La superficie de ataque incluye las funcionalidades del plugin que requieren permisos específicos para su uso.
Impacto potencial
La explotación de esta vulnerabilidad podría comprometer la integridad de los datos gestionados por el plugin y permitir a atacantes realizar cambios no autorizados, lo que podría afectar la reputación y la seguridad general del sitio web.
Vector de explotación
Generalmente, la vulnerabilidad se explota enviando solicitudes maliciosas a las funcionalidades del plugin que no requieren autenticación previa, lo que permite a un atacante ejecutar acciones no permitidas.
Mitigación recomendada
Actualizar el plugin Element Pack a la versión 5.10.13 o posterior. Además, se recomienda revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas en el sitio.
Señales de detección
Señales de posible explotación incluyen registros de accesos inusuales a las funciones del plugin y cambios no autorizados en la configuración del mismo.
Alcance afectado
Las versiones del plugin Element Pack para Elementor hasta la 5.10.12 son las afectadas. Las instalaciones que no han sido actualizadas a la versión 5.10.13 están en riesgo.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.3.17 - Authenticated (Contributor+) Arbitrary File Read
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons <= 8.3.13 - Cross-Site Request Forgery
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.3.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Open Street Map widget
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.2.5 - Authenticated (Subscriber+) Blind Server-Side Request Forgery
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons and Templates <= 8.1.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Open Street Map Widget Marker Content
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor <= 8.0.0 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via data-caption Attribute
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Addons for Elementor – Best Elementor addons with Ready Templates, Blocks, Widgets and WooCommerce Builder <= 5.11.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting
MEDIUM
PLUGIN
bdthemes-element-pack-lite
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid, Carousel and Remote Arrows) <= 5.10.29 - Authenticated (Contributor+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto