CVE-2025-13997: Exposición no autenticada de API keys en King Addons for Elementor
Un problema en King Addons for Elementor donde API keys quedaban expuestas en el código fuente renderizado de la página.
CVE-2025-13997 es una exposición no autenticada de API keys en el plugin King Addons for Elementor para WordPress.
El aviso público describe el bug como exposición de información sensible en versiones hasta 51.1.49 inclusive. El problema venía de API keys agregadas al código fuente HTML a través de la función render_full_form. Wordfence lo calificó como severidad media 5.3 y señala que se requiere la licencia premium para la ruta de funcionalidad vulnerable.
El bug
Esto no era un bypass de autenticación ni una toma directa de cuenta WordPress. El problema era más simple y aun así importante: secretos que deberían haber quedado del lado del servidor se exponían a visitantes no autenticados a través del markup frontend generado.
Según el aviso, el material expuesto podía incluir API keys o secretos de Mailchimp, Facebook y Google. El límite importante acá es el límite de renderizado. Si un valor llega al código fuente de la página, debería tratarse como público.
Por qué importaba
Las API keys en el código fuente de una página son fáciles de pasar por alto durante QA normal porque la página puede verse bien en el navegador. El riesgo está en lo que el HTML lleva silenciosamente.
Según cómo el sitio hubiera configurado las integraciones afectadas, las keys filtradas podían exponer acceso a servicios de terceros, datos de campañas, secretos de integración de formularios u otro material de cuentas conectadas. El bug de WordPress es el punto de exposición, pero el radio de impacto real puede extenderse a los servicios externos conectados al sitio.
Fix
King Addons for Elementor corrigió el problema en la versión 51.1.51. Los dueños de sitios deberían actualizar a 51.1.51 o una versión más nueva y rotar cualquier API key de terceros expuesta si usaban la funcionalidad premium de formularios afectada.