Royal Elementor Addons and Templates <= 1.7.1036 - Missing Authorization to Unauthenticated Media File Upload

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin Royal Elementor Addons y Templates, que permite la subida no autorizada de archivos multimedia. Esta falla afecta a las versiones hasta la 1.7.1036 y fue publicada el 24 de noviembre de 2025.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados, lo que permite a usuarios no autenticados cargar archivos multimedia en el servidor. Esto puede ser explotado a través de solicitudes HTTP maliciosas que el plugin no valida correctamente.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante suba contenido malicioso, lo que podría comprometer la integridad del sitio web y permitir ataques adicionales, como la ejecución remota de código o la distribución de malware.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes directas al servidor para cargar archivos sin la debida autenticación, utilizando herramientas automatizadas o scripts para facilitar el proceso.

Mitigación recomendada

Actualizar el plugin Royal Elementor Addons y Templates a la versión 1.7.1037 o superior. Además, se recomienda revisar los permisos de archivo y las configuraciones del servidor para limitar la carga de archivos a usuarios autenticados.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual en el servidor, como intentos de carga de archivos por parte de usuarios no autenticados y cambios inesperados en el sistema de archivos del sitio.

Alcance afectado

Las versiones del plugin Royal Elementor Addons y Templates hasta la 1.7.1036 son las afectadas. Se recomienda a los administradores de sitios que verifiquen la versión instalada.