Una vulnerabilidad de seguridad crítica en el complemento Essential Addons para Elementor, instalado en más de 2 millones de sitios web de WordPress, ha expuesto los sitios a ataques de inyección de scripts a través de parámetros de URL maliciosos.
La falla, rastreada como CVE-2025-24752 y con una puntuación de 7.1 (Alta) en la escala CVSS, permitió a los atacantes ejecutar ataques de secuencias de comandos entre sitios (XSS) reflejados al explotar una desinfección de entrada insuficiente en la funcionalidad de restablecimiento de contraseña del complemento, según un informe de Patchstack.
La vulnerabilidad surgió del manejo inadecuado del parámetro de consulta del selector emergente en el código JavaScript del complemento.
Los atacantes podían crear URL que contuvieran scripts maliciosos en este parámetro, que se ejecutaban cuando usuarios desprevenidos hacían clic en el enlace.
Este tipo de ataque XSS reflejado permite el secuestro de sesiones, redireccionamientos de phishing o distribución de malware al explotar la confianza del navegador de la víctima en el sitio web comprometido. El valor del selector de ventana emergente se recuperó de la URL y se inyectó en la página sin validar ni escapar de su contenido, lo que permitió a los atacantes insertar código JavaScript arbitrario.
Por ejemplo, una URL como https://victim-site.com/?popup-selector=<script>malicious-code</script> ejecutaría la carga útil.
Mitigación
Los desarrolladores del complemento, WPDeveloper, lanzaron la versión 6.0.15 para corregir la falla implementando una estricta validación de entrada.
El código parcheado restringe los valores del selector emergente a caracteres alfanuméricos y símbolos seguros específicos, neutralizando los vectores XSS:
// Patched validation logic
popupSelector = popupSelector.replace(/[^a-zA-Z0-9-_. ]/g, «»);
Se insta a los administradores de WordPress a actualizar inmediatamente al menos a la versión 6.0.15. Aquellos que no puedan parchear deberían considerar deshabilitar el complemento hasta que se apliquen las actualizaciones.
Este incidente subraya los riesgos persistentes en los ecosistemas de WordPress, donde los complementos populares se convierten en objetivos de alto valor. Essential Addons se encuentra entre las extensiones más instaladas de Elementor, lo que amplifica el radio de explosión de la falla.
El investigador de Sucuri, Ben Martin, señala: “Las fallas XSS en complementos con millones de usuarios pueden permitir campañas de compromiso masivo. La rigurosa desinfección de las entradas no es negociable para los desarrolladores de complementos”.
Se recomienda a los usuarios de WordPress que habiliten las actualizaciones automáticas y realicen auditorías de seguridad periódicas. Hasta febrero de 2025, no se han reportado vulnerabilidades generalizadas, pero el retraso en la aplicación de parches podría provocar infracciones en cascada.
