Vulnerabilitatea pluginului WordPress expune milioane de site-uri web

O vulnerabilitate de securitate în pluginul Essential Addons for Elementor (CVE-2025-24752) a expus peste două milioane de site-uri WordPress riscului de atacuri XSS (cross-site scripting).

Vulnerabilitatea descoperită în modul în care pluginul gestionează datele de intrare ale utilizatorului a permis atacatorilor să injecteze scripturi malițioase prin URL-uri malițioase.

Remediat în versiunea 6.0.15, acest incident subliniază importanța validării riguroase a datelor de intrare în dezvoltarea web.

Essential Addons for Elementor este cel mai popular pachet de extensii pentru compilatorul de pagini Elementor, având peste două milioane de instalații active.

Vulnerabilitatea provine de la verificarea necorespunzătoare a parametrului de interogare popup-selector în fișierul src/js/view/general.js al pluginului.

Atacatorii ar putea crea URL-uri ce conțin payload-uri JavaScript malițioase în acest parametru, pe care pluginul le-ar reflecta înapoi către utilizatori fără o validare adecvată.

Codul eronat a înlocuit semnele de subliniere cu spații, dar nu a verificat alte caractere periculoase, permițând executarea scriptului în browserele victimelor.

Exploatarea cu succes ar putea duce la deturnarea sesiunii, redirecționări prin phishing sau acces administrativ neautorizat.

WPDeveloper a remediat vulnerabilitatea în versiunea 6.0.15 prin implementarea unei validări stricte a datelor de intrare pentru parametrul popup-selector.

Codul actualizat limitează caracterele permise la alfanumerice și un set limitat de simboluri (de exemplu, -, .), neutralizând în mod eficient vectorii XSS.

Administratorii trebuie să actualizeze imediat la Essential Addons for Elementor 6.0.15 sau o versiune ulterioară.

Sursă: https://cybersecuritynews.com/wordpress-plugin-script-injection-attacks/