Vulnerabilidad en el plugin Elementor Website Builder de WordPress

22/06/2022

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad del tipo DOM-based Reflected Cross-Site Scripting (XSS) que afecta al plugin Elementor Website Builder de WordPress, que permitiría a un atacante realizar ejecución de código JavaScript en el sistema afectado.

La vulnerabilidad identificada como CVE-2022-29455 de severidad crítica. Esta se debe a una falla en la comprobación de código del parámetro “type=video” específicamente dentro del parámetro “videoParams” en el complemento Elementor Website Builder de WordPress.

La vulnerabilidad está presente en versiones anteriores a:

  • Elementor Website Builder 3.5.6.

Mitigación:

WordPress recomienda actualizar a la última versión 3.5.6 disponible de Elementor Website Builder, siguiendo los pasos del siguiente enlace:

Fuente: CERT-PY

https://www.cert.gov.py/noticias/vulnerabilidad-en-el-plugin-elementor-website-builder-de-wordpress