CVE-2025-13997: Exposição não autenticada de API keys no King Addons for Elementor
Um problema no King Addons for Elementor em que API keys eram expostas no código-fonte renderizado da página.
CVE-2025-13997 é uma exposição não autenticada de API keys no plugin King Addons for Elementor para WordPress.
O aviso público descreve o bug como exposição de informação sensível em versões até 51.1.49 inclusive. O problema veio de API keys adicionadas ao código-fonte HTML por meio da função render_full_form. A Wordfence classificou como severidade média 5.3 e observa que a licença premium é necessária para o caminho de funcionalidade vulnerável.
O bug
Isso não era um bypass de autenticação nem uma tomada direta de conta WordPress. O problema era mais simples e ainda assim importante: segredos que deveriam permanecer no servidor eram expostos a visitantes não autenticados pelo markup frontend gerado.
Segundo o aviso, o material exposto podia incluir API keys ou segredos do Mailchimp, Facebook e Google. A fronteira importante aqui é a fronteira de renderização. Se um valor aparece no código-fonte da página, ele deve ser tratado como público.
Por que importava
API keys no código-fonte da página são fáceis de perder durante QA normal porque a página pode parecer correta no navegador. O risco está no que o HTML carrega silenciosamente.
Dependendo de como o site configurou as integrações afetadas, keys vazadas podiam expor acesso a serviços de terceiros, dados de campanha, segredos de integração de formulários ou outros materiais de contas conectadas. O bug do WordPress é o ponto de divulgação, mas o raio de impacto real pode se estender para os serviços externos ligados ao site.
Correção
O King Addons for Elementor corrigiu o problema na versão 51.1.51. Donos de sites devem atualizar para 51.1.51 ou uma versão mais nova e rotacionar qualquer API key de terceiros exposta se usaram a funcionalidade premium de formulários afetada.