Platform
wordpress
Component
elementor
Opgelost in
3.33.4
CVE-2025-11220 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Elementor Website Builder plugin voor WordPress. Een succesvolle exploit kan leiden tot de uitvoering van kwaadaardige scripts in de browser van een gebruiker, waardoor gevoelige informatie kan worden gestolen of de website kan worden gecompromitteerd. Deze kwetsbaarheid treft versies van Elementor t/m 3.33.3. Een patch is beschikbaar in versie 3.33.4.
Kwetsbaarheid CVE-2025-11220 in de Elementor plugin voor WordPress beïnvloedt versies tot en met 3.33.3. Het maakt een Stored Cross-Site Scripting (XSS) aanval mogelijk via de 'Tekstpad' widget. Een geauthenticeerde aanvaller, met contributor-niveau toegang of hoger, kan kwaadaardige JavaScript-code in webpagina's injecteren. Deze code wordt uitgevoerd wanneer een gebruiker de gecompromitteerde pagina bezoekt, wat kan leiden tot diefstal van gevoelige informatie, identiteitsfraude of doorverwijzing naar kwaadaardige websites. Het risico is aanzienlijk, vooral voor websites met een grote gebruikersbasis en door gebruikers gegenereerde inhoud.
De aanval vereist dat de aanvaller geauthenticeerde toegang heeft tot de WordPress-site met een contributor- of hoger toegangslevel. De aanvaller kan de kwaadaardige JavaScript-code injecteren via de 'Tekstpad' widget op een pagina. Zodra de pagina is opgeslagen en door andere gebruikers wordt bekeken, wordt het script in hun browsers uitgevoerd. De kwetsbaarheid ligt in het ontbreken van een juiste validatie en escaping van de gebruikersinvoer bij het genereren van de SVG-code, waardoor de injectie van <script>-tags of onload-attributen mogelijk is die willekeurige code kunnen uitvoeren.
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de Elementor plugin onmiddellijk te updaten naar versie 3.33.4 of hoger. Deze versie bevat een fix die de door de gebruiker aangeleverde invoer die wordt gebruikt om de SVG-markup binnen de 'Tekstpad' widget te bouwen, correct neutraliseert, waardoor de uitvoering van kwaadaardige scripts wordt voorkomen. Intussen, als preventieve maatregel, beperk de bewerkingsrechten voor gebruikers met contributor-niveau toegang of hoger, waardoor de mogelijkheid om potentieel schadelijke inhoud in te voegen, wordt beperkt. Regelmatige websitebackups zijn ook een goede praktijk om de impact van eventuele aanvallen te beperken.
Update naar versie 3.33.4, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into web pages viewed by other users.
In WordPress, the contributor level is a user role that allows editing posts and pages, but not managing the site in general.
You can check your Elementor version by going to 'Plugins' in the WordPress admin dashboard and looking for 'Elementor' in the list.
If you suspect your site has been compromised, you should change all passwords, scan the site for malware, and restore a clean backup.
Yes, it's important to keep WordPress, all plugins, and themes updated, use strong passwords, and enable a web application firewall (WAF).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.