Fuente base de datos: Wordfence Intelligence

PowerPack Addons for Elementor <= 2.9.9 - Authenticated (Contributor+) Stored Cross-Site Scripting en Powerpack Lite FOR Elementor (Cross-Site Scripting (XSS)) - version 2.9.10

PLUGIN MEDIUM CVE-2026-32430

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la extensión PowerPack Addons para Elementor, afectando a versiones anteriores a la 2.9.10. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

El fallo se origina en la forma en que PowerPack Addons para Elementor maneja las entradas de los usuarios, permitiendo la inyección de código JavaScript en el contenido. La superficie de ataque se presenta principalmente a través de formularios y campos de entrada accesibles para usuarios autenticados.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar scripts en el navegador de otros usuarios, lo que puede llevar a la sustracción de información sensible o a la manipulación del contenido del sitio. Esto podría afectar la confianza de los usuarios y la integridad de la plataforma.

Vector de explotación

La explotación típicamente se realiza mediante la inyección de código en campos de entrada que no validan adecuadamente las entradas, permitiendo que un usuario malicioso ejecute scripts al visualizar el contenido afectado.

Mitigación recomendada

Actualizar PowerPack Addons para Elementor a la versión 2.9.10 o superior. Revisar y sanitizar todas las entradas de usuario en formularios y campos editables. Implementar políticas de seguridad de contenido (CSP) para mitigar el impacto de posibles inyecciones.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual por parte de usuarios autenticados, así como cambios inesperados en el contenido del sitio que no han sido autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.9.10. No se han confirmado casos en versiones posteriores a esta actualización.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

powerpack-lite-for-elementor

PowerPack Addons for Elementor <= 2.9.9 - Authenticated (Contributor+) Stored Cross-Site Scripting en Powerpack Lite FOR Elementor (Cross-Site Scripting (XSS)) - version 2.9.10

Resumen ejecutivo

Contexto técnico

Impacto potencial

Vector de explotación

Mitigación recomendada

Señales de detección

Alcance afectado

Vulnerabilidades relacionadas

PowerPack Lite for Elementor <= 2.9.4 - Authenticated (Contributor+) Stored Cross-Site Scripting Via 'cursor_url'

PowerPack Elementor Addons (Free Widgets, Extensions and Templates) <= 2.9.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.20 - Authenticated (Contributor+) Stored Cross-Site Scripting via Link Effects Widget

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.19 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

PowerPack Addons for Elementor <= 2.7.18 - Authenticated (Contributor+) Stored Cross-Site Scripting via Twitter Tweet Widget

PowerPack Addons for Elementor <= 2.7.17 - Authenticated (Contributor+) Stored Cross-Site Scripting via *_html_tag*

PowerPack Addons for Elementor <= 2.7.15 - Authenticated (Contributor+) Stored Cross-Site Scripting via Twitter Buttons Widget

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.14 - Authenticated (Contributor+) Stored Cross-Site Scripting

Comprueba si tu web tiene esta vulnerabilidad

¿Necesitas ayuda de un experto?

PowerPack Addons for Elementor <= 2.7.17 - Authenticated (Contributor+) Stored Cross-Site Scripting via _html_tag