Plataforma
wordpress
Componente
elementor
Corrigido em
3.29.1
CVE-2025-3075 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Elementor Website Builder plugin for WordPress. This vulnerability allows authenticated attackers, possessing contributor-level access or higher, to inject arbitrary web scripts into pages. The issue stems from insufficient input sanitization and output escaping within the plugin’s 'elementor-element' shortcode, and is only exploitable when 'Element Caching' is enabled on the WordPress site. A fix is available in version 3.30.0.
A vulnerabilidade CVE-2025-3075 no plugin Elementor para WordPress expõe um risco de Cross-Site Scripting (XSS) persistente. Um atacante autenticado, com acesso de colaborador ou superior, pode injetar código JavaScript malicioso através do shortcode 'elementor-element' do plugin. Este código será executado sempre que um usuário acessar a página comprometida, podendo resultar no roubo de informações sensíveis, redirecionamento para sites maliciosos ou manipulação do conteúdo da página. A causa raiz reside na falta de sanitização e escape adequados das entradas do usuário no shortcode. O impacto é significativo, especialmente para sites com grande número de usuários e conteúdo gerado pelo usuário.
Um atacante com acesso de colaborador ou superior em um site WordPress que utiliza Elementor pode explorar esta vulnerabilidade. O atacante pode criar uma página ou modificar uma existente utilizando o shortcode 'elementor-element' e injetar código JavaScript malicioso como um atributo. Quando outros usuários (incluindo os administradores) visitam a página, o código malicioso é executado em seus navegadores. A dificuldade de exploração é relativamente baixa, já que requer apenas acesso autenticado a um site WordPress com Elementor instalado. A probabilidade de exploração é alta, dado o uso generalizado de Elementor e a facilidade com que o código malicioso pode ser injetado.
WordPress websites utilizing the Elementor Website Builder plugin, particularly those with 'Element Caching' enabled, are at risk. Shared hosting environments where users have contributor-level access or higher are especially vulnerable, as they provide a potential attack vector for malicious script injection.
• wordpress / composer / npm:
grep -r 'elementor-element shortcode' /var/www/html/wp-content/plugins/elementor/src/• wordpress / composer / npm:
wp plugin list --status=active | grep elementor• wordpress / composer / npm:
wp plugin update elementor• generic web:
Check Elementor plugin version using curl -I <wordpresssiteurl>/wp-content/plugins/elementor/elementor.php and verify it's >= 3.30.0.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução para mitigar esta vulnerabilidade é atualizar o plugin Elementor para a versão 3.30.0 ou superior. Esta atualização inclui as correções necessárias para prevenir a injeção de scripts maliciosos. Além disso, recomenda-se revisar as páginas web existentes em busca de possíveis injeções de código e removê-las. Manter todos os plugins e o núcleo do WordPress atualizados é crucial para reduzir a superfície de ataque. Implementar uma política de segurança de senhas robusta e habilitar a autenticação de dois fatores para todos os usuários com privilégios de edição também ajuda a proteger contra este tipo de ataque.
Actualice el plugin Elementor a la versión 3.30.0 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de que 'Element Caching' esté deshabilitado o configurado correctamente para evitar la persistencia de scripts maliciosos. Revise las páginas para eliminar cualquier contenido sospechoso inyectado antes de la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Significa que o atacante tem permissões para criar e editar páginas e posts no WordPress, mas não tem controle total sobre o site.
Se você estiver usando uma versão do Elementor anterior à 3.30.0, seu site é vulnerável. Atualize o mais rápido possível.
Altere todas as senhas, escaneie seu site em busca de malware e considere restaurar a partir de um backup limpo.
Existem várias ferramentas de escaneamento de vulnerabilidades web que podem ajudá-lo a detectar XSS, como OWASP ZAP e Burp Suite.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.