Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo XSS en el plugin Elementor, que afecta a las versiones anteriores a la 3.33.4. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de un vector de texto específico.
Fuente base de datos: WPScan
Elementor < 3.33.4 - Contributor+ Stored DOM-Based XSS via Text Path
PLUGIN
N/A
CVE-2025-11220
Fuente base: WPScan. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se presenta como un XSS almacenado basado en DOM, lo que significa que un atacante puede inyectar código JavaScript en el contenido que se muestra a los usuarios. La superficie de ataque se centra en la forma en que Elementor gestiona los textos introducidos por los usuarios.
Impacto potencial
La explotación de esta vulnerabilidad puede permitir a un atacante robar información sensible, como credenciales de acceso, o realizar acciones no autorizadas en nombre del usuario. Esto podría tener repercusiones graves en la reputación de la empresa y en la confianza de los usuarios.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad enviando contenido malicioso a través de formularios o campos de texto que Elementor permite, lo que resulta en la ejecución de scripts en el navegador de otros usuarios.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Elementor a la versión 3.33.4 o superior. Además, es aconsejable revisar las configuraciones de seguridad y validar el contenido introducido por los usuarios.
Señales de detección
Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio, como redireccionamientos inesperados o la presencia de scripts no autorizados en el código fuente de las páginas.
Alcance afectado
Las versiones de Elementor anteriores a la 3.33.4 están afectadas por esta vulnerabilidad. Es crucial verificar las instalaciones para asegurar que se está utilizando la versión segura.
Vulnerabilidades relacionadas
N/A
PLUGIN
elementor
Elementor < 3.29.1 - Contributor+ Stored XSS
N/A
PLUGIN
elementor
Elementor < 3.30.3 - Contributor+ Stored XSS via Text Path Widget
N/A
PLUGIN
elementor
Elementor Website Builder < 3.29.1 - Contributor+ Stored XSS
N/A
PLUGIN
elementor
Elementor Website Builder < 3.25.11 - Contributor+ Stored XSS
N/A
PLUGIN
elementor
Elementor Website Builder < 3.27.5 - Contributor+ Stored XSS
N/A
PLUGIN
elementor
Elementor Website Builder < 3.25.10 - Contributor+ Stored XSS via Typography Settings
N/A
PLUGIN
elementor
Elementor Website Builder < 3.25.8 - Contributor+ Stored XSS
N/A
PLUGIN
elementor
Elementor Website Builder – More than Just a Page Builder < 3.24.0 - Authenticated (Contributor+) Stored Cross-Site Scripting in the URL Parameter in Multiple Widgets
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto