Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Element Pack Elementor Addons para WordPress (CVE-2024-0837)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/04/2024
Última modificación:
17/01/2025

Descripción

El complemento Element Pack Elementor Addons (Header Footer, Free Template Library, Grid, Carousel, Table, Parallax Animation, Register Form, Twitter Grid) para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro de URL de imagen en todas las versiones hasta, e incluyendo, 5.3.2 debido a una sanitización insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:bdthemes:element_pack:*:*:*:*:pro:wordpress:*:* 5.3.3 (excluyendo)