Platform
wordpress
Component
elementor
Opgelost in
3.29.1
CVE-2025-3075 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Elementor Website Builder plugin voor WordPress. Een succesvolle exploit kan leiden tot de uitvoering van kwaadaardige scripts in de browser van een gebruiker, waardoor gevoelige informatie kan worden gestolen of de website kan worden gecompromitteerd. Deze kwetsbaarheid treft versies van Elementor van 0.0.0 tot en met 3.29.0, specifiek op sites waar 'Element Caching' is ingeschakeld. Een patch is beschikbaar in versie 3.30.0.
CVE-2025-3075 in de Elementor plugin voor WordPress vormt een persistent Cross-Site Scripting (XSS) risico. Een geauthenticeerde aanvaller, met contributor- of hoger niveau toegang, kan kwaadaardige JavaScript-code injecteren via de 'elementor-element' shortcode van de plugin. Deze code wordt uitgevoerd wanneer een gebruiker de gecompromitteerde pagina bezoekt, wat kan leiden tot diefstal van gevoelige informatie, doorverwijzing naar kwaadaardige websites of manipulatie van de pagina-inhoud. De oorzaak ligt in een ontoereikende sanitatie en escaping van gebruikersinvoer in de shortcode. De impact is aanzienlijk, vooral voor websites met een groot aantal gebruikers en door gebruikers gegenereerde inhoud.
Een aanvaller met contributor- of hogere toegang op een WordPress-site die Elementor gebruikt, kan deze kwetsbaarheid misbruiken. Ze kunnen een pagina maken of een bestaande pagina wijzigen met behulp van de 'elementor-element' shortcode en kwaadaardige JavaScript-code injecteren als een attribuut. Wanneer andere gebruikers (waaronder beheerders) de pagina bezoeken, wordt de kwaadaardige code in hun browsers uitgevoerd. De exploit-moeilijkheidsgraad is relatief laag, omdat er alleen geauthenticeerde toegang tot een WordPress-site met Elementor nodig is. De waarschijnlijkheid van exploitatie is hoog gezien het wijdverbreide gebruik van Elementor en de eenvoud waarmee kwaadaardige code kan worden geïnjecteerd.
WordPress websites utilizing the Elementor Website Builder plugin, particularly those with 'Element Caching' enabled, are at risk. Shared hosting environments where users have contributor-level access or higher are especially vulnerable, as they provide a potential attack vector for malicious script injection.
• wordpress / composer / npm:
grep -r 'elementor-element shortcode' /var/www/html/wp-content/plugins/elementor/src/• wordpress / composer / npm:
wp plugin list --status=active | grep elementor• wordpress / composer / npm:
wp plugin update elementor• generic web:
Check Elementor plugin version using curl -I <wordpresssiteurl>/wp-content/plugins/elementor/elementor.php and verify it's >= 3.30.0.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het bijwerken van de Elementor plugin naar versie 3.30.0 of hoger. Deze update bevat de nodige fixes om het injecteren van kwaadaardige scripts te voorkomen. Controleer bovendien bestaande webpagina's op mogelijke code-injectie en verwijder deze. Regelmatige updates van alle plugins en de WordPress-kern zijn cruciaal om het aanvalsoppervlak te minimaliseren. Het implementeren van een sterk wachtwoordbeleid en het inschakelen van tweefactorauthenticatie voor alle gebruikers met bewerkingsrechten verhoogt de beveiliging verder.
Actualice el plugin Elementor a la versión 3.30.0 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de que 'Element Caching' esté deshabilitado o configurado correctamente para evitar la persistencia de scripts maliciosos. Revise las páginas para eliminar cualquier contenido sospechoso inyectado antes de la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Het betekent dat de aanvaller toestemming heeft om pagina's en berichten in WordPress te maken en te bewerken, maar geen volledige controle over de site heeft.
Als u een versie van Elementor gebruikt die ouder is dan 3.30.0, is uw site kwetsbaar. Werk zo snel mogelijk bij.
Wijzig alle wachtwoorden, scan uw site op malware en overweeg om te herstellen van een schone back-up.
Er zijn verschillende web-vulnerability scanning tools die u kunnen helpen bij het detecteren van XSS, zoals OWASP ZAP en Burp Suite.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.