Platform
wordpress
Component
premium-addons-for-elementor
Opgelost in
4.11.54
CVE-2025-14163 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Premium Addons for Elementor plugin voor WordPress. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om, onder bepaalde omstandigheden, Elementor templates te creëren. De kwetsbaarheid treedt op in versies van 0.0.0 tot en met 4.11.53. Een update naar versie 4.11.54 is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde creatie van Elementor templates op een WordPress-website. Dit kan de integriteit van de website aantasten, aangezien de aanvaller templates kan injecteren die kwaadaardige code bevatten of de lay-out van de website veranderen. De impact is groter als de website kritieke functionaliteit of gevoelige informatie bevat, aangezien de aanvaller deze via de gecreëerde templates kan misbruiken. Het misbruik vereist dat de aanvaller een beheerder of gebruiker met de 'edit_posts' capability kan misleiden om een kwaadaardige actie uit te voeren, bijvoorbeeld door op een speciaal geconstrueerde link te klikken.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar het is waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
WordPress websites using Premium Addons for Elementor, particularly those with multiple users having 'edit_posts' capabilities, are at risk. Shared hosting environments where users have limited control over plugin updates are also more vulnerable. Sites with legacy configurations or outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'insert_inner_template' /var/www/html/wp-content/plugins/premium-addons-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep 'premium-addons-for-elementor'• wordpress / composer / npm:
wp plugin update premium-addons-for-elementor --alldisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Premium Addons for Elementor plugin naar versie 4.11.54 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met de 'edit_posts' capability. Implementeer een Web Application Firewall (WAF) met CSRF-bescherming om verdachte requests te blokkeren. Controleer de WordPress-logbestanden op ongebruikelijke activiteit die verband kan houden met template creatie. Na de upgrade, controleer de Elementor templates om er zeker van te zijn dat er geen ongeautoriseerde templates zijn aangemaakt.
Update naar versie 4.11.54, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14163 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Premium Addons for Elementor plugin voor WordPress, waardoor een aanvaller potentieel Elementor templates kan aanmaken.
U bent getroffen als u de Premium Addons for Elementor plugin gebruikt in versie 0.0.0 tot en met 4.11.53.
Update de Premium Addons for Elementor plugin naar versie 4.11.54 of hoger. Implementeer tijdelijke mitigaties zoals het beperken van gebruikersrechten.
Er zijn momenteel geen bekende actieve campagnes, maar het is waarschijnlijk dat deze in de toekomst zal worden misbruikt.
Raadpleeg de officiële website van Premium Addons for Elementor voor het meest recente advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.