Publicaciones

CVE-2025-13997: Exposición no autenticada de API keys en King Addons for Elementor

Un problema en King Addons for Elementor donde API keys quedaban expuestas en el código fuente renderizado de la página.

CVE-2025-13997 es una exposición no autenticada de API keys en el plugin King Addons for Elementor para WordPress.

El aviso público describe el bug como exposición de información sensible en versiones hasta 51.1.49 inclusive. El problema venía de API keys agregadas al código fuente HTML a través de la función render_full_form. Wordfence lo calificó como severidad media 5.3 y señala que se requiere la licencia premium para la ruta de funcionalidad vulnerable.

Tarjeta resumen de CVE-2025-13997 con producto afectado, impacto y puntaje CVSS
CVE-2025-13997 afectaba a King Addons for Elementor hasta la versión 51.1.49 inclusive. A junio de 2026, WordPress.org lista el plugin con más de 10,000 instalaciones activas.

El bug

Esto no era un bypass de autenticación ni una toma directa de cuenta WordPress. El problema era más simple y aun así importante: secretos que deberían haber quedado del lado del servidor se exponían a visitantes no autenticados a través del markup frontend generado.

Según el aviso, el material expuesto podía incluir API keys o secretos de Mailchimp, Facebook y Google. El límite importante acá es el límite de renderizado. Si un valor llega al código fuente de la página, debería tratarse como público.

Por qué importaba

Las API keys en el código fuente de una página son fáciles de pasar por alto durante QA normal porque la página puede verse bien en el navegador. El riesgo está en lo que el HTML lleva silenciosamente.

Según cómo el sitio hubiera configurado las integraciones afectadas, las keys filtradas podían exponer acceso a servicios de terceros, datos de campañas, secretos de integración de formularios u otro material de cuentas conectadas. El bug de WordPress es el punto de exposición, pero el radio de impacto real puede extenderse a los servicios externos conectados al sitio.

Fix

King Addons for Elementor corrigió el problema en la versión 51.1.51. Los dueños de sitios deberían actualizar a 51.1.51 o una versión más nueva y rotar cualquier API key de terceros expuesta si usaban la funcionalidad premium de formularios afectada.

Referencias