WBase de données des vulnérabilités WordPress

Alerte de sécurité de Hong Kong Unlimited Elements XSS(CVE202513692)

Cross Site Scripting (XSS) dans le plugin WordPress Unlimited Elements For Elementor (Widgets gratuits, Addons, Modèles)
0
Partages
0
0
0
0
Nom du plugin Éléments Illimités Pour Elementor
Type de vulnérabilité XSS
Numéro CVE CVE-2025-13692
Urgence Moyen
Date de publication CVE 2025-11-27
URL source CVE-2025-13692

Avis de sécurité urgent : XSS stocké via téléchargement SVG dans “Unlimited Elements for Elementor”

Date : 2025-11-27  |  Auteur : Expert en sécurité de Hong Kong

Cet avis décrit une vulnérabilité de Cross-Site Scripting (XSS) stockée (non authentifiée) dans le plugin “Unlimited Elements for Elementor” affectant les versions ≤ 2.0. Le problème peut être déclenché en téléchargeant un SVG conçu qui, une fois stocké et servi, exécute du JavaScript arbitraire dans les navigateurs des visiteurs. Le fournisseur a publié un correctif dans 2.0.1. Considérez cela comme une fenêtre de correctif de haute priorité — les scanners automatisés et les attaquants opportunistes recherchent rapidement de telles expositions.

Résumé rapide (pour les propriétaires de sites occupés)

  • Vulnérabilité : XSS stocké via téléchargement SVG affectant Éléments Illimités pour Elementor ≤ 2.0.
  • Corrigé dans 2.0.1 — mettez à jour immédiatement si possible.
  • Si le correctif est retardé : désactivez les téléchargements SVG, supprimez les SVG non fiables des téléchargements et déployez des règles WAF d'inspection de contenu pour bloquer les marqueurs SVG exécutables.
  • Faites tourner les identifiants administratifs, examinez les journaux pour des téléchargements suspects et suivez les étapes de détection et de récupération ci-dessous si un compromis est suspecté.

Quelle est la vulnérabilité (niveau élevé) ?

SVG est XML et peut inclure des constructions exécutables (scripts, attributs d'événements, HTML intégré). Lorsqu'une application accepte des téléchargements SVG sans une désinfection robuste et les sert ensuite (en ligne ou dans des pages), les données téléchargées deviennent un vecteur XSS stocké. Ce problème permet à un attaquant non authentifié de télécharger un SVG conçu contenant des charges utiles exécutables ; tout visiteur chargeant la page qui inclut ce SVG peut exécuter le JavaScript de l'attaquant.

Causes profondes (typiques)

  • Autoriser des téléchargements de fichiers non authentifiés ou insuffisamment restreints.
  • Désinfection insuffisante du contenu SVG côté serveur (échec de la suppression des scripts, attributs on*), ).
  • Servir des SVG en ligne ou avec des en-têtes qui permettent l'exécution dans le contexte de la page.
  • Contrôle d'accès insuffisant sur les points de terminaison de téléchargement.

Pourquoi les SVG sont risqués

SVG n'est pas un format d'image passif. C'est XML qui prend en charge :