Platform
wordpress
Component
elementor
Opgelost in
3.30.3
CVE-2025-4566 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Elementor Website Builder plugin for WordPress. This flaw allows authenticated attackers with Contributor-level access or higher to inject malicious web scripts into pages, which are executed when a user accesses the compromised page. This vulnerability affects versions up to and including 3.30.2, and is specific to Chrome and Edge browsers. Currently, there is no official patch available to address this issue.
CVE-2025-4566 in de Elementor Website Builder plugin beïnvloedt versies tot en met 3.30.2, waardoor een opgeslagen Cross-Site Scripting (XSS)-aanval mogelijk is. Een geauthenticeerde aanvaller met Contributor-niveau toegang of hoger kan kwaadaardige JavaScript-code injecteren via het 'data-text'-attribuut van de 'Text Path'-widget. Deze code wordt uitgevoerd elke keer dat een gebruiker de gecompromitteerde pagina bezoekt. De primaire impact is mogelijk identiteitsdiefstal, diefstal van sessiecookies, omleiding naar kwaadaardige sites of wijziging van de paginainhoud, waardoor de beveiliging en integriteit van de website in gevaar komt. De CVSS-score is 6.4, wat een middelmatig-hoog risico aangeeft.
Een aanvaller met Contributor- of hogere toegang op een website die Elementor gebruikt, kan deze kwetsbaarheid uitbuiten. De aanvaller injecteert kwaadaardige JavaScript-code in het 'data-text'-attribuut van de 'Text Path'-widget. Deze code wordt opgeslagen in de database van de website en wordt uitgevoerd elke keer dat een gebruiker de pagina bezoekt die de gecompromitteerde widget bevat. De uitvoering van de kwaadaardige code kan de aanvaller in staat stellen acties namens de gebruiker uit te voeren, zoals het stelen van vertrouwelijke informatie of het wijzigen van de inhoud van de website. De eenvoud van exploitatie wordt vergroot door de wijdverbreide adoptie van Elementor en de relatieve eenvoud van het injecteren van de kwaadaardige code.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De onmiddellijke oplossing is om de Elementor plugin bij te werken naar versie 3.30.3 of hoger. Deze update corrigeert de kwetsbaarheid door een juiste invoervalidatie en uitvoer-escaping binnen de 'Text Path'-widget te implementeren. Controleer bovendien bestaande pagina's op mogelijke kwaadaardige code-injecties, met name die gemaakt of bewerkt door gebruikers met Contributor- of hogere privileges. Het implementeren van een Content Security Policy (CSP) kan helpen de impact van een XSS-aanval te verzachten, zelfs als de kwetsbaarheid niet onmiddellijk wordt gepatcht. Het monitoren van serverlogs op verdachte activiteiten is ook een goede beveiligingspraktijk.
Actualice el plugin Elementor a la versión 3.30.3 o superior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar. Esta actualización aborda la falta de sanitización y escape de salida que permitía la inyección de scripts maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Als u Elementor gebruikt en versie 3.30.2 of eerder heeft, is de kans groot dat u getroffen bent. Controleer pagina's die zijn gemaakt door gebruikers met Contributor-rechten of hoger op verdacht code.
Een Contributor is een gebruikersrol in WordPress die beperkte rechten heeft om inhoud te publiceren en te bewerken.
Ja, het updaten naar versie 3.30.3 of hoger is de primaire oplossing. Het is echter ook aan te raden om bestaande pagina's te controleren op mogelijke injecties.
Een CSP is een beveiligingsmechanisme waarmee websitebeheerders de controle kunnen krijgen over de resources die de browser is toegestaan te laden, waardoor XSS-aanvallen worden voorkomen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.