Plataforma
wordpress
Componente
elementor
Corrigido em
3.30.3
A vulnerabilidade CVE-2025-4566 é uma falha de Cross-Site Scripting (XSS) encontrada no plugin Elementor Website Builder para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contributor ou superiores, injetem scripts maliciosos em páginas, que serão executados sempre que um usuário acessar a página comprometida. A vulnerabilidade afeta versões do Elementor anteriores à 3.30.3 e foi corrigida nesta versão.
A vulnerabilidade CVE-2025-4566 no plugin Elementor Website Builder afeta versões até a 3.30.2, permitindo um ataque de Cross-Site Scripting (XSS) armazenado. Um atacante autenticado com acesso de nível Contribuidor ou superior pode injetar código JavaScript malicioso através do atributo 'data-text' do widget 'Text Path'. Este código será executado sempre que um usuário acessar a página comprometida. O impacto principal é o possível roubo de identidade, roubo de cookies de sessão, redirecionamento para sites maliciosos ou modificação do conteúdo da página, comprometendo a segurança e a integridade do site. A pontuação CVSS é 6.4, indicando um risco médio-alto.
Um atacante com acesso de Contribuidor ou superior em um site que utiliza Elementor pode explorar esta vulnerabilidade. O atacante injeta código JavaScript malicioso no atributo 'data-text' do widget 'Text Path'. Este código é armazenado no banco de dados do site e é executado sempre que um usuário visita a página que contém o widget comprometido. A execução do código malicioso pode permitir que o atacante realize ações em nome do usuário, como roubar informações confidenciais ou modificar o conteúdo do site. A facilidade de exploração é aumentada pela ampla adoção do Elementor e a relativa simplicidade de injetar o código malicioso.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução imediata é atualizar o plugin Elementor para a versão 3.30.3 ou superior. Esta atualização corrige a vulnerabilidade implementando uma sanitização e escape adequados da entrada do usuário no widget 'Text Path'. Além disso, revise as páginas existentes para detectar possíveis injeções de código malicioso, especialmente aquelas criadas ou editadas por usuários com privilégios de Contribuidor ou superior. Implementar uma Política de Segurança de Conteúdo (CSP) pode ajudar a mitigar o impacto de um ataque XSS, mesmo que a vulnerabilidade não seja corrigida imediatamente. Monitorar os registros do servidor em busca de atividade suspeita também é uma boa prática de segurança.
Actualice el plugin Elementor a la versión 3.30.3 o superior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar. Esta actualización aborda la falta de sanitización y escape de salida que permitía la inyección de scripts maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web vistas por outros usuários.
Se você usa Elementor e tem a versão 3.30.2 ou anterior, provavelmente está afetado. Revise as páginas criadas por usuários com privilégios de Contribuidor ou superior em busca de código suspeito.
Um Contribuidor é um papel de usuário no WordPress que tem permissões limitadas para publicar e editar conteúdo.
Sim, atualizar para a versão 3.30.3 ou superior é a solução principal. No entanto, também é recomendável revisar as páginas existentes para detectar possíveis injeções.
Uma CSP é um mecanismo de segurança que permite que os administradores do site controlem os recursos que o navegador pode carregar, ajudando a prevenir ataques XSS.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.