Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Essential Addons for Elementor <= 6.6.10 - Authenticated (Contributor+) Account Takeover via Email Header Injection en Essential Addons FOR Elementor Lite (vulnerabilidad) - version 6.6.11

PLUGIN HIGH CVE-2026-15155

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Essential Addons para Elementor, que permite la toma de control de cuentas autenticadas a través de inyecciones en los encabezados de correo electrónico. Esta falla, catalogada con un CVSS de 8.8, representa un riesgo significativo para la seguridad de las cuentas de usuario.

Contexto técnico

El fallo se encuentra en la versión 6.6.10 del plugin Essential Addons para Elementor, donde un atacante con privilegios de 'Contributor' o superiores puede explotar la inyección de encabezados de correo electrónico para comprometer cuentas de usuario. La exposición se produce a través de la manipulación de las peticiones enviadas al servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la toma de control de cuentas de usuario, lo que podría llevar a la modificación no autorizada de contenido y a la pérdida de confianza por parte de los usuarios. Esto puede afectar gravemente la reputación del negocio y su operativa.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando peticiones manipuladas que incluyen encabezados de correo electrónico maliciosos, permitiendo así la ejecución de acciones no autorizadas en la cuenta comprometida.

Mitigación recomendada

Actualizar el plugin Essential Addons para Elementor a la versión 6.6.11 o superior para corregir la vulnerabilidad. Revisar los registros de actividad de cuentas afectadas para detectar accesos no autorizados. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para usuarios con privilegios elevados.

Señales de detección

Monitorear los registros de acceso para identificar patrones inusuales de actividad en cuentas de usuario, así como configuraciones de encabezados de correo electrónico que no coincidan con las políticas de seguridad establecidas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Essential Addons para Elementor hasta la 6.6.10. La versión 6.6.11 y posteriores no presentan esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.6.2 - Authenticated (Author+) Stored Cross-Site Scripting via Event Calendar Widget Popup

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.6.4 - Missing Authorization to Unauthenticated Information Exposure via 'load_more' AJAX Handler

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor – Popular Elementor Templates & Widgets <= 6.5.13 - Authenticated (Author+) Limited Privilege Escalation via register_user

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor – Popular Elementor Templates & Widgets < 6.6.0 - Missing Authorization

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.5.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via Info Box Widget

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.5.5 - Missing Authorization to Unauthenticated Sensitive Information Exposure

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor – Popular Elementor Templates & Widgets <= 6.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad