Vulnerabilidad en el plugin Elementor Website Builder de Wordpress

---

22/06/2022

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad del tipo DOM-based Reflected Cross-Site Scripting (XSS) que afecta al plugin Elementor Website Builder de WordPress, que permitiría a un atacante realizar ejecución de código JavaScript en el sistema afectado.

La vulnerabilidad identificada como CVE-2022-29455 de severidad crítica. Esta se debe a una falla en la comprobación de código del parámetro “type=video” específicamente dentro del parámetro "videoParams" en el complemento Elementor Website Builder de Wordpress.

La vulnerabilidad está presente en versiones anteriores a:

• Elementor Website Builder 3.5.6.

Mitigación:

WordPress recomienda actualizar a la última versión 3.5.6 disponible de Elementor Website Builder, siguiendo los pasos del siguiente enlace:

• https://elementor.com/help/how-to-update-elementor-and-elementor-pro/

Información adicional:

• BOL-CERT-PY-2022-26 Vulnerabilidaden el plugin Elementor de WordPress
• https://rotem-bar.com/hacking-65-million-websites-greater-cve-2022-29455-elementor
• https://nvd.nist.gov/vuln/detail/CVE-2022-29455
• https://www.rotem-bar.com/elementor
• https://elementor.com/help/how-to-update-elementor-and-elementor-pro/