Resumen ejecutivo
La vulnerabilidad en el plugin Ultimate Store Kit para Elementor, en versiones hasta la 2.9.4, se debe a una falta de autorización. Esta debilidad puede permitir a un atacante realizar acciones no autorizadas en el sistema.
Fuente base de datos: Wordfence Intelligence
Ultimate Store Kit Elementor Addons <= 2.9.4 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-69336
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la ausencia de controles de autorización adecuados, lo que permite que usuarios no autenticados puedan acceder a funcionalidades restringidas del plugin. Esto amplía la superficie de ataque, especialmente en sitios que utilizan este plugin para gestionar tiendas online.
Impacto potencial
La explotación de esta vulnerabilidad podría comprometer la integridad del sitio web, permitiendo a atacantes modificar configuraciones críticas o acceder a datos sensibles, lo que podría resultar en pérdidas financieras y de reputación para el negocio.
Vector de explotación
Generalmente, la explotación se realiza mediante solicitudes HTTP manipuladas que intentan acceder a funciones del plugin sin la debida autorización, lo que permite a un atacante ejecutar acciones maliciosas.
Mitigación recomendada
Se recomienda actualizar el plugin Ultimate Store Kit a la versión 2.9.5 o superior, donde se ha corregido la vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del sitio.
Señales de detección
Señales de posible explotación incluyen intentos inusuales de acceso a funciones del plugin desde direcciones IP desconocidas o patrones de tráfico que indiquen solicitudes no autorizadas.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin Ultimate Store Kit para Elementor hasta la 2.9.4. La versión 2.9.5 y posteriores no están afectadas.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons <= 2.8.6 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.4.1 - Cross-Site Request Forgery to Limited User Meta Update
CRITICAL
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons <= 2.4.0 - Unauthenticated PHP Object Injection
MEDIUM
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons <= 2.5.0 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.3.0 - Missing Authorization
MEDIUM
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons <= 2.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting
CRITICAL
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.0.3 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
ultimate-store-kit
Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 1.6.4 - Unauthenticated PHP Object Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto