Plataforma
wordpress
Componente
premium-addons-for-elementor
Corregido en
4.11.54
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin Premium Addons for Elementor para WordPress en versiones desde 0.0.0 hasta la 4.11.53. Esta falla se debe a la falta de validación de nonce en la función 'insertinnertemplate', permitiendo la creación de plantillas Elementor arbitrarias. La actualización a la versión 4.11.54 soluciona esta vulnerabilidad y se recomienda su aplicación inmediata.
Un atacante puede explotar esta vulnerabilidad para crear plantillas Elementor maliciosas sin la necesidad de autenticación, siempre y cuando pueda engañar a un administrador del sitio o a un usuario con el permiso 'edit_posts' para que realice una acción, como hacer clic en un enlace especialmente diseñado. La creación de plantillas maliciosas puede llevar a la inyección de código, la modificación de la apariencia del sitio web, o incluso el control total del sitio si la plantilla contiene código malicioso. Esta vulnerabilidad es particularmente preocupante en sitios con múltiples administradores o usuarios con permisos de edición, ya que aumenta la superficie de ataque.
Esta vulnerabilidad fue publicada el 23 de diciembre de 2025. No se han reportado campañas de explotación activas a la fecha. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las actualizaciones o mitigaciones necesarias lo antes posible.
WordPress websites using Premium Addons for Elementor, particularly those with multiple users having 'edit_posts' capabilities, are at risk. Shared hosting environments where users have limited control over plugin updates are also more vulnerable. Sites with legacy configurations or outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'insert_inner_template' /var/www/html/wp-content/plugins/premium-addons-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep 'premium-addons-for-elementor'• wordpress / composer / npm:
wp plugin update premium-addons-for-elementor --alldisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Premium Addons for Elementor a la versión 4.11.54 o superior. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación como restringir el acceso a la función 'insertinnertemplate' a usuarios autenticados y con roles específicos. Además, se puede considerar el uso de un Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes CSRF. Implementar una política de seguridad que requiera autenticación para todas las acciones críticas también puede ayudar a reducir el riesgo.
Actualizar a la versión 4.11.54, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14163 es una vulnerabilidad Cross-Site Request Forgery (CSRF) que afecta al plugin Premium Addons for Elementor para WordPress, permitiendo a atacantes crear plantillas Elementor arbitrarias.
Si está utilizando Premium Addons for Elementor en una versión anterior a 4.11.54, es vulnerable a esta vulnerabilidad.
Actualice el plugin Premium Addons for Elementor a la versión 4.11.54 o superior. Si no puede actualizar, implemente medidas de mitigación como restringir el acceso a la función 'insertinnertemplate'.
A la fecha, no se han reportado campañas de explotación activas, pero se recomienda aplicar las actualizaciones o mitigaciones necesarias.
Consulte el sitio web oficial de Premium Addons for Elementor o los canales de comunicación del plugin para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.