CVE-2026-5243: XSS en The Plus Addons for Elementor
Plataforma
wordpress
Componente
the-plus-addons-for-elementor-page-builder
Corregido en
6.4.12
La vulnerabilidad CVE-2026-5243 es una falla de Cross-Site Scripting (XSS) almacenada que afecta al plugin The Plus Addons for Elementor, utilizado con WordPress. Esta vulnerabilidad permite a un atacante autenticado, con privilegios de colaborador o superiores, inyectar scripts web maliciosos en páginas web. Las versiones afectadas son desde 0.0.0 hasta la 6.4.11. La vulnerabilidad ha sido solucionada en la versión 6.4.12 y se publicó el 14 de mayo de 2026.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede inyectar código JavaScript malicioso en páginas web a través del parámetro menuhoverclick del widget Navigation Menu Lite. Cuando un usuario visita una página que contiene este script inyectado, el código se ejecuta en el contexto del navegador del usuario, permitiendo al atacante robar cookies, redirigir al usuario a sitios web maliciosos, o incluso modificar el contenido de la página. El impacto se amplifica si el sitio web es utilizado por un gran número de usuarios, ya que el atacante podría afectar a una amplia audiencia. Esta vulnerabilidad es similar a otras vulnerabilidades XSS almacenadas que han sido explotadas en el pasado para robar información confidencial y comprometer la seguridad de los sitios web.
Contexto de Explotación
La vulnerabilidad CVE-2026-5243 no se encuentra en KEV (Known Exploited Vulnerabilities) a la fecha de publicación. La puntuación CVSS de 6.4 (MEDIUM) indica una probabilidad moderada de explotación. No se han reportado públicamente pruebas de concepto (PoCs) activas para esta vulnerabilidad, pero la naturaleza de XSS almacenada la hace susceptible a explotación una vez que se divulga un PoC. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-5243 es actualizar el plugin The Plus Addons for Elementor a la versión 6.4.12 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad del sitio web antes de aplicar la actualización. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el parámetro menuhoverclick. Además, revise los logs del servidor en busca de patrones de inyección de código malicioso. Después de la actualización, verifique que el widget Navigation Menu Lite no sea vulnerable a la inyección de scripts maliciosos mediante la creación de un usuario con privilegios de colaborador y la prueba de la funcionalidad del widget.
Cómo corregirlo
Actualizar a la versión 6.4.12, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2026-5243 — XSS en The Plus Addons for Elementor?
CVE-2026-5243 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin The Plus Addons for Elementor para WordPress que permite a atacantes inyectar scripts maliciosos.
Am I affected by CVE-2026-5243 in The Plus Addons for Elementor?
Si está utilizando el plugin The Plus Addons for Elementor en versiones 0.0.0 hasta 6.4.11, es vulnerable a esta vulnerabilidad. Verifique su versión actual.
How do I fix CVE-2026-5243 in The Plus Addons for Elementor?
Actualice el plugin The Plus Addons for Elementor a la versión 6.4.12 o superior para solucionar la vulnerabilidad. Considere una copia de seguridad antes de actualizar.
Is CVE-2026-5243 being actively exploited?
Actualmente no se han reportado explotaciones activas, pero la naturaleza de XSS almacenada la hace susceptible a ataques. Monitoree las fuentes de inteligencia de amenazas.
Where can I find the official The Plus Addons for Elementor advisory for CVE-2026-5243?
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información oficial sobre la vulnerabilidad y la actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...