WBase de Datos de Vulnerabilidades de WordPress

Alerta de seguridad de Hong Kong Unlimited Elements XSS(CVE202513692)

Cross Site Scripting (XSS) en WordPress Unlimited Elements For Elementor (Widgets gratuitos, complementos, plantillas)
0
Compartidos
0
0
0
0
Nombre del plugin Unlimited Elements para Elementor
Tipo de vulnerabilidad XSS
Número CVE CVE-2025-13692
Urgencia Medio
Fecha de publicación de CVE 2025-11-27
URL de origen CVE-2025-13692

Aviso de Seguridad Urgente: XSS Almacenado a través de Carga de SVG en “Unlimited Elements for Elementor”

Fecha: 2025-11-27  |  Autor: Experto en seguridad de Hong Kong

Este aviso describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenada (no autenticada) en el plugin “Unlimited Elements for Elementor” que afecta a las versiones ≤ 2.0. El problema puede ser desencadenado al cargar un SVG manipulado que, cuando se almacena y se sirve, ejecuta JavaScript arbitrario en los navegadores de los visitantes. El proveedor lanzó una solución en 2.0.1. Trate esto como una ventana de parcheo de alta prioridad: los escáneres automatizados y los atacantes oportunistas escanean rápidamente en busca de tales exposiciones.

Resumen rápido (para propietarios de sitios ocupados)

  • Vulnerabilidad: XSS almacenado a través de la carga de SVG que afecta a Unlimited Elements for Elementor ≤ 2.0.
  • Solucionado en 2.0.1 — actualice inmediatamente donde sea posible.
  • Si la aplicación del parche se retrasa: desactive las cargas de SVG, elimine los SVG no confiables de las cargas y despliegue reglas de WAF de inspección de contenido para bloquear marcadores SVG ejecutables.
  • Rote las credenciales de administrador, revise los registros en busca de cargas sospechosas y siga los pasos de detección y recuperación a continuación si se sospecha de un compromiso.

¿Cuál es la vulnerabilidad (nivel alto)?

SVG es XML y puede incluir construcciones ejecutables (scripts, atributos de eventos, HTML incrustado). Cuando una aplicación acepta cargas de SVG sin una sanitización robusta y luego las sirve (en línea o en páginas), los datos cargados se convierten en un vector de XSS almacenado. Este problema permite a un atacante no autenticado cargar un SVG manipulado que contiene cargas útiles ejecutables; cualquier visitante que cargue la página que incluya ese SVG puede ejecutar el JavaScript del atacante.

Causas raíz (típicas)

  • Permitir cargas de archivos no autenticadas o insuficientemente restringidas.
  • Insuficiente sanitización del contenido SVG del lado del servidor (falla al eliminar scripts, atributos on*), ).
  • Servir SVGs en línea o con encabezados que permiten la ejecución en el contexto de la página.
  • Control de acceso insuficiente en los puntos finales de carga.

Por qué los SVG son arriesgados

SVG no es un formato de imagen pasivo. Es XML que soporta: