Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Exclusive Addons for Elementor <= 2.7.9.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Title (Cross-Site Scripting (XSS)) - version 2.7.9.9

PLUGIN MEDIUM CVE-2026-11328

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Exclusive Addons for Elementor, que afecta a las versiones hasta la 2.7.9.8. Esta falla permite a usuarios con rol de contribuyente inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en la gestión del título de las publicaciones, permitiendo a usuarios autenticados con permisos de contribuyente introducir código JavaScript malicioso. Esto se traduce en un vector de ataque que puede ser explotado mediante la interacción con el contenido de publicaciones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el contexto del navegador de otros usuarios, lo que puede llevar al robo de información sensible o a la manipulación de la interfaz del sitio. Esto afecta tanto a la reputación como a la integridad del negocio.

Vector de explotación

La explotación se realiza a través de la creación o edición de publicaciones, donde un atacante puede insertar código malicioso en el título, que se ejecutará cuando otros usuarios visualicen la publicación afectada.

Mitigación recomendada

Actualizar el plugin Exclusive Addons for Elementor a la versión 2.7.9.9 o superior para cerrar la vulnerabilidad. Revisar y limpiar cualquier contenido de publicaciones que pudiera haber sido comprometido. Implementar políticas de control de acceso más estrictas para usuarios con permisos de contribuyente.

Señales de detección

Monitorear los logs de actividad del plugin para detectar cambios inusuales en los títulos de las publicaciones y buscar patrones de scripts en los datos de entrada.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Exclusive Addons for Elementor hasta la 2.7.9.8. No se ha confirmado la existencia de otros escenarios de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.7.9.8 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.7.9.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.7.9.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown Timer Widget

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons Elementor <= 2.7.9 - Authenticated (Administrator+) Stored Cross-Site Scripting

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Animated Text and Image Comparison Widgets

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons Elementor <= 2.7.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.6.9.8 - Authenticated (Contibutor+) Stored Cross-Site Scripting via Card Widget

MEDIUM PLUGIN

exclusive-addons-for-elementor

Exclusive Addons for Elementor <= 2.6.9.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Team Member Widget

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad