Elementor Website Builder <= 3.35.7 - Incorrect Authorization to Authenticated (Contributor+) Sensitive Information Exposure via Elementor Template

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo exposición de información sensible en el plugin Elementor Website Builder, que afecta a las versiones hasta la 3.35.7. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior acceder a información sensible a través de plantillas de Elementor.

Contexto técnico

El fallo radica en una autorización incorrecta que permite a usuarios con privilegios limitados acceder a datos que deberían estar restringidos. Esto se produce en el manejo de las plantillas de Elementor, donde la validación de permisos no se aplica correctamente.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante con acceso limitado obtener información sensible, lo que podría comprometer la seguridad de la web y afectar la confianza de los usuarios. Esto puede resultar en daños a la reputación y posibles implicaciones legales.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo a las plantillas de Elementor utilizando cuentas de usuario con privilegios de contribuyente o superiores, lo que les permite extraer información sensible sin las autorizaciones adecuadas.

Mitigación recomendada

Es crucial actualizar el plugin Elementor a la versión 3.35.8 o superior para mitigar esta vulnerabilidad. Además, se recomienda revisar los permisos de los usuarios y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a plantillas de Elementor por usuarios con privilegios limitados, así como cambios inusuales en la configuración de permisos de usuario.

Alcance afectado

Las versiones afectadas son todas las versiones de Elementor hasta la 3.35.7. La vulnerabilidad fue corregida en la versión 3.35.8, publicada el 25 de marzo de 2026.