CVE-2026-5193: Privilege Escalation in Essential Addons for Elementor
Plataforma
wordpress
Componente
essential-addons-for-elementor-lite
Corregido en
6.6.0
La vulnerabilidad CVE-2026-5193 afecta al plugin Essential Addons for Elementor para WordPress, permitiendo una escalada de privilegios. Esta falla se debe a una validación insuficiente de roles en la función 'register_user', permitiendo la creación de cuentas de usuario con privilegios elevados. Las versiones afectadas son desde la 0.0.0 hasta la 6.5.13; la solución es actualizar a la versión 6.6.0.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante autenticado con acceso de autor o superior puede explotar esta vulnerabilidad para crear nuevas cuentas de usuario con privilegios de editor. Esto les permitiría acceder a funcionalidades restringidas, modificar contenido crítico, y potencialmente comprometer la seguridad del sitio web. La escalada de privilegios podría facilitar la toma de control completa del sitio WordPress, permitiendo la modificación de la base de datos, la inyección de código malicioso, o el robo de información sensible. Aunque no se han reportado explotaciones públicas directas, la facilidad de explotación y el impacto potencial hacen de esta vulnerabilidad una preocupación significativa.
Contexto de Explotación
La vulnerabilidad CVE-2026-5193 fue publicada el 14 de mayo de 2026. La puntuación CVSS es de 6.5 (MEDIUM), indicando una probabilidad de explotación moderada. No se han identificado campañas activas conocidas que exploten esta vulnerabilidad, pero la relativa simplicidad de la explotación sugiere que podría ser blanco de ataques automatizados. Se recomienda monitorear los registros del servidor y las actividades de los usuarios en busca de signos de explotación.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Essential Addons for Elementor a la versión 6.6.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se podría restringir la creación de nuevos usuarios a través de otras herramientas de gestión de usuarios de WordPress o implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas relacionadas con la creación de usuarios. Verifique después de la actualización que la función 'register_user' esté correctamente validada y que los nuevos usuarios se creen con los roles asignados correctamente.
Cómo corregirlo
Actualizar a la versión 6.6.0, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-5193 — Privilege Escalation in Essential Addons for Elementor?
CVE-2026-5193 es una vulnerabilidad de escalada de privilegios en el plugin Essential Addons for Elementor para WordPress, que permite a usuarios con acceso de autor crear cuentas con privilegios de editor.
Am I affected by CVE-2026-5193 in Essential Addons for Elementor?
Si está utilizando el plugin Essential Addons for Elementor en una versión anterior a la 6.6.0, es vulnerable a esta escalada de privilegios.
How do I fix CVE-2026-5193 in Essential Addons for Elementor?
Actualice el plugin Essential Addons for Elementor a la versión 6.6.0 o superior para solucionar la vulnerabilidad.
Is CVE-2026-5193 being actively exploited?
Aunque no se han reportado explotaciones públicas directas, la vulnerabilidad es susceptible a ataques y se recomienda tomar medidas preventivas.
Where can I find the official Essential Addons for Elementor advisory for CVE-2026-5193?
Consulte el sitio web oficial de Essential Addons for Elementor o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...