Plataforma
wordpress
Componente
xpro-elementor-addons
Corregido en
1.4.10
El plugin Xpro Elementor Addons - Pro para WordPress presenta una vulnerabilidad de Ejecución Remota de Código (RCE). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, ejecutar código malicioso en el servidor. Las versiones afectadas son todas las versiones hasta la 1.4.9. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede obtener control total sobre el servidor web. Esto implica la capacidad de ejecutar comandos arbitrarios, acceder a datos confidenciales almacenados en el servidor, modificar archivos del sitio web, e incluso comprometer otras aplicaciones o sistemas conectados a la misma red. La falta de controles adecuados en el widget PHP personalizado permite la ejecución de código sin la debida validación, lo que amplía significativamente el radio de impacto. La explotación exitosa podría resultar en la pérdida de datos, interrupción del servicio, y daño a la reputación.
El CVE-2024-13808 fue publicado el 26 de abril de 2025. No se ha reportado explotación activa a la fecha, pero la naturaleza de la vulnerabilidad (RCE) y la disponibilidad de WordPress lo convierten en un objetivo atractivo. No está listado en el KEV de CISA. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing Xpro Elementor Addons - Pro, particularly those with multiple users holding Contributor or higher roles, are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Legacy WordPress installations with outdated security practices are more likely to be targeted.
• wordpress / composer / npm:
grep -r 'custom_php_widget' /var/www/html/wp-content/plugins/xpro-elementor-addons-pro/• wordpress / composer / npm:
wp plugin list --status=active | grep 'xpro-elementor-addons-pro'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/xpro-elementor-addons-pro/ | grep -i 'Xpro Elementor Addons - Pro'disclosure
Estado del Exploit
EPSS
1.86% (83% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Xpro Elementor Addons - Pro a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, considere restringir el acceso al widget PHP personalizado a usuarios con privilegios administrativos. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad también puede ayudar. Monitorear los logs del servidor en busca de actividad inusual relacionada con el plugin es crucial.
Actualice el plugin Xpro Elementor Addons - Pro a la última versión disponible. La vulnerabilidad permite la ejecución remota de código, por lo que es crucial actualizar lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13808 is a Remote Code Execution vulnerability in Xpro Elementor Addons - Pro versions up to 1.4.9, allowing authenticated users to execute code on the server.
You are affected if you are using Xpro Elementor Addons - Pro version 1.4.9 or earlier. Check your plugin version and upgrade immediately.
Upgrade Xpro Elementor Addons - Pro to a version higher than 1.4.9. Consider temporary restrictions on the custom PHP widget if immediate upgrade is not possible.
As of 2025-04-26, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a high risk of exploitation.
Refer to the Xpro Elementor Addons official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.