Plateforme
wordpress
Composant
premium-addons-for-elementor
Corrigé dans
4.11.54
La vulnérabilité Cross-Site Request Forgery (CSRF) affecte le plugin Premium Addons for Elementor pour WordPress, dans les versions allant de 0.0.0 à 4.11.53. Cette faille est due à l'absence de validation de nonce dans la fonction 'insertinnertemplate'. Elle permet à des attaquants non authentifiés de créer des modèles Elementor arbitraires en incitant un utilisateur ayant les droits d'édition à effectuer une action via une requête forgée. La version corrigée est 4.11.54.
Un attaquant peut exploiter cette vulnérabilité CSRF pour créer des modèles Elementor malveillants sur un site WordPress. Cela pourrait inclure l'insertion de code JavaScript malveillant dans les modèles, la redirection des utilisateurs vers des sites web malveillants, ou la modification du contenu du site web. L'impact est amplifié si l'attaquant peut convaincre un administrateur ou un utilisateur disposant des droits 'edit_posts' d'effectuer l'action. La création de modèles malveillants pourrait compromettre l'intégrité du site web et potentiellement conduire à des attaques plus sophistiquées, comme le vol de données ou le contrôle total du site.
Cette vulnérabilité a été rendue publique le 23 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. L'absence de validation de nonce est un motif de vulnérabilité CSRF courant, et des preuves de concept publiques pourraient être développées à l'avenir.
WordPress websites using Premium Addons for Elementor, particularly those with multiple users having 'edit_posts' capabilities, are at risk. Shared hosting environments where users have limited control over plugin updates are also more vulnerable. Sites with legacy configurations or outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'insert_inner_template' /var/www/html/wp-content/plugins/premium-addons-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep 'premium-addons-for-elementor'• wordpress / composer / npm:
wp plugin update premium-addons-for-elementor --alldisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Premium Addons for Elementor vers la version 4.11.54 ou supérieure. En attendant la mise à jour, il est possible de limiter l'impact en désactivant temporairement le plugin ou en restreignant les droits d'édition des utilisateurs. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que la fonction 'insertinnertemplate' utilise correctement les nonces pour valider les requêtes.
Mettre à jour vers la version 4.11.54, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14163 décrit une vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Premium Addons for Elementor pour WordPress, permettant à un attaquant de créer des modèles malveillants.
Oui, si vous utilisez Premium Addons for Elementor dans les versions 0.0.0 à 4.11.53, vous êtes affecté par cette vulnérabilité.
Mettez à jour le plugin Premium Addons for Elementor vers la version 4.11.54 ou supérieure pour corriger cette vulnérabilité.
À ce jour, il n'y a aucune indication d'une exploitation active de CVE-2025-14163, mais des preuves de concept publiques pourraient être développées à l'avenir.
Consultez le site web du développeur ou le dépôt GitHub du plugin pour obtenir l'avis officiel concernant CVE-2025-14163.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.