Fuente base de datos: Wordfence Intelligence

aThemes Addons for Elementor <= 1.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2025-60112

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin aThemes Addons for Elementor en versiones anteriores a la 1.1.3. Esta falla permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta en el manejo inadecuado de entradas en el plugin, lo que permite que un atacante autenticado inserte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios. La superficie de ataque se limita a aquellos que tienen acceso como contribuidor o superior.

Impacto potencial

El impacto potencial incluye la posibilidad de robar información sensible, realizar acciones en nombre de otros usuarios o comprometer la integridad del sitio. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la inyección de scripts a través de formularios o campos de entrada disponibles para usuarios autenticados, lo que puede llevar a la ejecución de código en el contexto de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.1.3 o superior. Además, se sugiere revisar y validar adecuadamente todas las entradas de usuario en el sitio.

Señales de detección

Las señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido generado por el usuario o comportamientos inusuales en el sitio web, como redirecciones no deseadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.3 del plugin aThemes Addons for Elementor.