Publicações

CVE-2025-13997: Exposição não autenticada de API keys no King Addons for Elementor

Um problema no King Addons for Elementor em que API keys eram expostas no código-fonte renderizado da página.

CVE-2025-13997 é uma exposição não autenticada de API keys no plugin King Addons for Elementor para WordPress.

O aviso público descreve o bug como exposição de informação sensível em versões até 51.1.49 inclusive. O problema veio de API keys adicionadas ao código-fonte HTML por meio da função render_full_form. A Wordfence classificou como severidade média 5.3 e observa que a licença premium é necessária para o caminho de funcionalidade vulnerável.

Card de resumo do CVE-2025-13997 mostrando produto afetado, impacto e pontuação CVSS
CVE-2025-13997 afetava o King Addons for Elementor até a versão 51.1.49 inclusive. Em junho de 2026, o WordPress.org lista o plugin com mais de 10.000 instalações ativas.

O bug

Isso não era um bypass de autenticação nem uma tomada direta de conta WordPress. O problema era mais simples e ainda assim importante: segredos que deveriam permanecer no servidor eram expostos a visitantes não autenticados pelo markup frontend gerado.

Segundo o aviso, o material exposto podia incluir API keys ou segredos do Mailchimp, Facebook e Google. A fronteira importante aqui é a fronteira de renderização. Se um valor aparece no código-fonte da página, ele deve ser tratado como público.

Por que importava

API keys no código-fonte da página são fáceis de perder durante QA normal porque a página pode parecer correta no navegador. O risco está no que o HTML carrega silenciosamente.

Dependendo de como o site configurou as integrações afetadas, keys vazadas podiam expor acesso a serviços de terceiros, dados de campanha, segredos de integração de formulários ou outros materiais de contas conectadas. O bug do WordPress é o ponto de divulgação, mas o raio de impacto real pode se estender para os serviços externos ligados ao site.

Correção

O King Addons for Elementor corrigiu o problema na versão 51.1.51. Donos de sites devem atualizar para 51.1.51 ou uma versão mais nova e rotacionar qualquer API key de terceiros exposta se usaram a funcionalidade premium de formulários afetada.

Referências