Fuente base de datos: Wordfence Intelligence

The Pack Elementor addons <= 2.1.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2025-46472

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el complemento The Pack Elementor addons, que afecta a las versiones hasta la 2.1.6. Esta vulnerabilidad puede ser explotada por usuarios autenticados con rol de contribuidor o superior.

Contexto técnico

La vulnerabilidad se manifiesta a través de un fallo en la validación de entradas, lo que permite a un atacante inyectar scripts maliciosos que se ejecutan en el contexto del navegador de otros usuarios. Esto puede ocurrir en áreas donde se permiten entradas de texto sin la debida sanitización.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el navegador de otros usuarios, lo que podría llevar al robo de sesiones, redirección a sitios maliciosos o la manipulación de la interfaz de usuario. Esto puede comprometer la integridad y la confianza de la plataforma.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de contenido malicioso que se almacena y luego se muestra a otros usuarios. Esto requiere que el atacante tenga acceso autenticado como contribuidor o superior para poder inyectar el código malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el complemento a la versión 2.1.6 o superior. Además, se sugiere implementar medidas de hardening, como la validación y sanitización de todas las entradas de usuario, así como la revisión de permisos de usuario en el sitio.

Señales de detección

Se pueden detectar intentos de explotación observando entradas inusuales en el contenido generado por usuarios, así como la aparición de scripts no autorizados en las páginas del sitio. También se recomienda monitorear los registros de actividad de los usuarios con roles elevados.

Alcance afectado

Las versiones del complemento The Pack Elementor addons hasta la 2.1.6 están afectadas. Es importante verificar si se utilizan versiones anteriores en las instalaciones de WordPress.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addon <= 2.1.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Typing Letter Widget

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addon <= 2.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addons <= 2.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addons <= 2.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addons <= 2.0.8.8 - Authenticated (Author+) Stored Cross-Site Scripting

MEDIUM PLUGIN

the-pack-addon

The Pack Elementor addons (Header Footer & WooCommerce Builder, Template Library) <= 2.0.8.3 - Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto