Plataforma
wordpress
Componente
bdthemes-element-pack-lite
Corrigido em
8.3.14
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no Element Pack Elementor Addons, um plugin popular para WordPress. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, comprometendo a integridade dos dados e configurações do site. As versões afetadas são da 0.0.0 até a 8.3.13. A correção foi disponibilizada na versão 8.3.14.
A vulnerabilidade CSRF no Element Pack Elementor Addons permite que um atacante, através de um site malicioso, induza um usuário autenticado a executar ações indesejadas no site WordPress que utiliza o plugin. Isso pode incluir a modificação de configurações do Element Pack, a criação ou exclusão de elementos visuais, ou até mesmo a alteração de permissões de usuários. Um atacante poderia, por exemplo, criar um formulário em seu site que, quando submetido por um usuário logado no site vulnerável, alteraria as configurações do Element Pack sem o conhecimento do usuário. O impacto é a perda de controle sobre o design e funcionalidade do site, além do potencial comprometimento de dados sensíveis armazenados ou processados pelo Element Pack.
A vulnerabilidade CVE-2025-31413 foi divulgada em 22 de janeiro de 2026. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da divulgação. A gravidade da vulnerabilidade é classificada como Média, indicando uma probabilidade moderada de exploração, especialmente em sites com configurações de segurança inadequadas ou com um grande número de usuários vulneráveis.
Websites using Element Pack Elementor Addons, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially affect others. Sites using older, unpatched versions of Element Pack are most vulnerable.
• wordpress / composer / npm:
grep -r 'bdthemes-element-pack-lite' /var/www/html/
wp plugin list | grep 'bdthemes-element-pack-lite'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=element_pack_some_sensitive_actiondisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-31413 é a atualização imediata do Element Pack Elementor Addons para a versão 8.3.14 ou superior. Se a atualização imediata não for possível devido a conflitos de plugins ou problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições CSRF. Além disso, revise as configurações do Element Pack para garantir que as permissões de usuários estejam devidamente restritas e que as ações críticas exijam autenticação multifator. Após a atualização, verifique se as configurações do Element Pack foram preservadas e se não há comportamentos inesperados.
Atualize para a versão 8.3.14, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite a um atacante executar ações não autorizadas em um site WordPress que utiliza o Element Pack Elementor Addons, afetando versões de 0.0.0 até 8.3.13.
Sim, se você estiver utilizando o Element Pack Elementor Addons nas versões de 0.0.0 até 8.3.13, você está vulnerável a ataques CSRF.
Atualize o Element Pack Elementor Addons para a versão 8.3.14 ou superior. Considere também implementar um WAF e revisar as permissões de usuários.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a vulnerabilidade apresenta uma probabilidade moderada de exploração.
Consulte o site oficial do Element Pack Elementor Addons ou o repositório de plugins do WordPress para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.