13SEC NEWS

CVE-2025-24752: Falha crítica em plug-in do WordPress coloca milhões de sites em risco

Mara Daniella 1 week ago 2 min read
CVE-2025-24752: Falha crítica em plug-in do WordPress coloca milhões de sites em risco
Falha expõe milhões de sites a ataques XSS.
Compartilhe

Uma vulnerabilidade de alta gravidade foi identificada no popular plug-in do WordPress, Essential Addons for Elementor, comprometendo a segurança de mais de dois milhões de sites. O problema, catalogado como CVE-2025-24752, trata-se de uma falha de Cross-Site Scripting (XSS) refletido, que pode ser explorada por invasores para injetar códigos maliciosos nos navegadores de usuários desavisados.

O Essential Addons for Elementor é um dos pacotes de extensão mais utilizados para o construtor de páginas Elementor, o que torna essa vulnerabilidade especialmente preocupante. O erro estava relacionado ao processamento do argumento de consulta “popup-selector”, um parâmetro utilizado para ativar funcionalidades de pop-up.

Segundo uma análise detalhada realizada pela Patchstack, a vulnerabilidade surgiu devido à validação e sanitização inadequadas desse argumento de consulta. Antes da correção, o plug-in simplesmente substituía os caracteres de sublinhado por espaços e incorporava o valor do parâmetro diretamente na página, sem verificações adicionais. Essa falta de filtragem permitia que invasores injetassem código JavaScript nocivo.

Leia também

Malware GitVenom desvia US$ 456 mil em Bitcoin usando repositórios GitHub fraudulentos

O que torna esse vetor de ataque particularmente perigoso é sua simplicidade. Com a criação de uma URL maliciosa, um invasor pode roubar credenciais de acesso, redirecionar visitantes para páginas fraudulentas ou até mesmo modificar completamente um site.

A vulnerabilidade foi encontrada no arquivo src/js/view/general.js. Durante o carregamento da página, o plug-in processava o argumento “popup-selector”, deixando-o suscetível à manipulação.

A gravidade do problema se reflete na pontuação CVSS de 7,1, indicando um risco elevado. Felizmente, os desenvolvedores do plug-in reagiram prontamente, lançando a versão 6.0.15 para solucionar a falha.

O patch introduziu uma validação mais rigorosa para a variável “popup-selector”, restringindo seu uso a caracteres alfanuméricos e um conjunto limitado de símbolos seguros. Essa medida impede métodos comuns de ataque XSS.

Recomendamos fortemente que todos os usuários do Essential Addons for Elementor realizem a atualização para a versão 6.0.15 imediatamente. A instalação desse patch é essencial para garantir a proteção do site e dos visitantes contra possíveis ataques.

+Mais

Norte-coreanos avançam na lavagem de dinheiro após roubo bilionário da Bybit
2 min read

Norte-coreanos avançam na lavagem de dinheiro após roubo bilionário da Bybit

3 days ago Mara Daniella
Zapier sofre invasão em repositórios de código e dados de clientes podem ter sido acessados
3 min read

Zapier sofre invasão em repositórios de código e dados de clientes podem ter sido acessados

5 days ago Mara Daniella
ICO do Reino Unido investiga TikTok, Reddit e Imgur por proteção de dados infantis
2 min read

ICO do Reino Unido investiga TikTok, Reddit e Imgur por proteção de dados infantis

5 days ago Mara Daniella