Plataforma
wordpress
Componente
elementor
Corrigido em
3.33.4
CVE-2025-11220 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Text Path widget in the Elementor Website Builder WordPress plugin. This flaw allows authenticated attackers with contributor-level access or higher to inject malicious web scripts into pages. These scripts execute when a user accesses the compromised page. This affects Elementor versions up to and including 3.33.3. The vulnerability is fixed in version 3.33.4.
A vulnerabilidade CVE-2025-11220 no plugin Elementor para WordPress afeta versões até a 3.33.3. Permite um ataque de Cross-Site Scripting (XSS) armazenado através do widget 'Caminho de Texto'. Um atacante autenticado com permissões de colaborador ou superiores pode injetar código JavaScript malicioso em páginas web. Este código será executado sempre que um usuário acessar a página comprometida, o que pode resultar no roubo de informações sensíveis, na suplantação de identidade ou no redirecionamento para sites maliciosos. O risco é significativo, especialmente para sites com um grande número de usuários e conteúdo gerado por usuários.
O ataque requer que o atacante tenha acesso autenticado ao site WordPress com um nível de permissão de colaborador ou superior. O atacante pode injetar o código JavaScript malicioso através do widget 'Caminho de Texto' em uma página. Uma vez que a página seja salva e visualizada por outros usuários, o script é executado em seus navegadores. A vulnerabilidade reside na falta de uma validação e escape adequados da entrada do usuário ao gerar o código SVG, permitindo a injeção de etiquetas <script> ou atributos onload que podem executar código arbitrário.
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar imediatamente o plugin Elementor para a versão 3.33.4 ou superior. Esta versão inclui uma correção que neutraliza adequadamente a entrada do usuário utilizada para construir o código SVG dentro do widget 'Caminho de Texto', prevenindo assim a execução de scripts maliciosos. Enquanto isso, como medida preventiva, recomenda-se restringir o acesso de edição a usuários com permissões de colaborador ou superiores, limitando a capacidade de injetar conteúdo potencialmente perigoso. Realizar backups regulares do site também é uma boa prática para mitigar o impacto de qualquer ataque.
Atualize para a versão 3.33.4 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite a atacantes injetar scripts maliciosos em páginas web vistas por outros usuários.
Em WordPress, o nível de colaborador é um papel de usuário que permite editar publicações e páginas, mas não administrar o site em geral.
Você pode verificar sua versão do Elementor indo para 'Plugins' no painel de administração do WordPress e procurando por 'Elementor' na lista.
Se você suspeitar que seu site foi comprometido, você deve alterar todas as senhas, escanear o site em busca de malware e restaurar um backup limpo.
Sim, é importante manter o WordPress, todos os plugins e temas atualizados, usar senhas fortes e habilitar um firewall de aplicativos web (WAF).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.