W listopadzie 2025 spo\u0142eczno\u015b\u0107 WordPressa mierzy\u0142a si\u0119 z kolejn\u0105 fal\u0105 krytycznych alert\u00f3w bezpiecze\u0144stwa zwi\u0105zanych z Elementorem i dodatkami firm trzecich. Przy ponad 13 milionach aktywnych instalacji Elementor pozostaje jednym z najpopularniejszych kreator\u00f3w stron na \u015bwiecie, ale ekosystem jego rozszerze\u0144 nadal nara\u017ca witryny na powa\u017cne podatno\u015bci. W tym artykule omawiamy najnowsze podatno\u015bci zwi\u0105zane z Elementorem zg\u0142oszone w listopadzie 2025 roku, ich potencjalny wp\u0142yw oraz najlepsze praktyki zabezpieczenia strony WordPress.<\/p>\n\n\n\n
Popularno\u015b\u0107 Elementora doprowadzi\u0142a do powstania pr\u0119\u017cnego rynku dodatk\u00f3w firm trzecich, oferuj\u0105cych zaawansowane widgety, szablony i narz\u0119dzia projektowe. Jednak ten rozw\u00f3j zwi\u0119ksza te\u017c powierzchni\u0119 ataku dla z\u0142o\u015bliwych podmiot\u00f3w. Wiele z tych dodatk\u00f3w jest rozwijanych przez ma\u0142e zespo\u0142y lub niezale\u017cnych tw\u00f3rc\u00f3w, co mo\u017ce skutkowa\u0107 niesp\u00f3jnymi praktykami bezpiecze\u0144stwa i op\u00f3\u017anieniami we wdra\u017caniu poprawek.<\/p>\n\n\n\n
Na pocz\u0105tku listopada 2025 badacze cyberbezpiecze\u0144stwa ujawnili dwie podatno\u015bci typu zero-day we wtyczce King Addons for Elementor<\/strong>, zainstalowanej na ponad 10 000 stron.<\/p>\n\n\n\n Jak podaje TechRadar<\/a>, obie podatno\u015bci zosta\u0142y za\u0142atane w wersji 51.1.37<\/em>, a u\u017cytkownik\u00f3w wezwano do natychmiastowej aktualizacji.<\/p>\n\n\n\n Wp\u0142yw:<\/strong> ryzyko pe\u0142nego przej\u0119cia strony, kradzie\u017cy danych oraz wstrzykni\u0119cia z\u0142o\u015bliwych skrypt\u00f3w lub backdoor\u00f3w.<\/p>\n\n\n\n Kolejny powa\u017cny problem zidentyfikowano w Startklar Elementor Addons<\/strong>, wtyczce z ponad 20 000 aktywnych instalacji. Podatno\u015b\u0107 typu path traversal (CVE-2024-5153)<\/strong> umo\u017cliwia\u0142a nieuwierzytelnionym atakuj\u0105cym dost\u0119p do dowolnych plik\u00f3w lub ich usuwanie, w tym plik\u00f3w krytycznych, takich jak \/wp-config.php. Baza podatno\u015bci SentinelOne<\/a> sklasyfikowa\u0142a t\u0119 luk\u0119 jako powa\u017cn\u0105<\/em>, ostrzegaj\u0105c, \u017ce jej wykorzystanie mo\u017ce prowadzi\u0107 do ca\u0142kowitego przej\u0119cia witryny.<\/p>\n\n\n\n Wp\u0142yw:<\/strong> nieautoryzowany dost\u0119p do plik\u00f3w, ryzyko utraty danych i trwa\u0142ych uszkodze\u0144 strony.<\/p>\n\n\n\n Mi\u0119dzy marcem a majem 2025 wykryto krytyczn\u0105 podatno\u015b\u0107 typu RCE (CVE-2025-30911)<\/strong> we wtyczce RomethemeKit for Elementor<\/strong>, umo\u017cliwiaj\u0105c\u0105 nawet u\u017cytkownikom z rol\u0105 subskrybenta wykonywanie dowolnego kodu na serwerze. Problem zosta\u0142 rozwi\u0105zany w wersji 1.5.5<\/em>, jednak nieza\u0142atane instalacje pozostawa\u0142y podatne przez wiele miesi\u0119cy. Infosecurity Magazine<\/a> informowa\u0142o, \u017ce luka mog\u0142a zosta\u0107 wykorzystana do instalacji malware, tworzenia nieautoryzowanych kont administrator\u00f3w lub wdra\u017cania skrypt\u00f3w do kopania kryptowalut.<\/p>\n\n\n\n Wp\u0142yw:<\/strong> pe\u0142ne przej\u0119cie serwera i trwa\u0142y, nieautoryzowany dost\u0119p.<\/p>\n\n\n\n Podatno\u015b\u0107 typu stored XSS<\/strong> we wtyczce Responsive Addons for Elementor<\/strong> dotyczy\u0142a wersji do 1.6.9<\/em>, co zosta\u0142o udokumentowane w National Vulnerability Database (NVD)<\/a>.<\/p>\n\n\n\n Wp\u0142yw:<\/strong> kradzie\u017c danych logowania, przej\u0119cie sesji oraz deface tre\u015bci strony.<\/p>\n\n\n\n Kolejn\u0105 luk\u0119 XSS (CVE-2025-31771) wykryto we wtyczce Team Members for Elementor<\/strong>, obejmuj\u0105c\u0105 wersje do 1.0.4<\/em>. Wykorzystanie podatno\u015bci wymaga\u0142o dost\u0119pu na poziomie wsp\u00f3\u0142tw\u00f3rcy (contributor); poprawk\u0119 wprowadzono w nowszych wydaniach. Podatno\u015b\u0107 jest odnotowana w bazie podatno\u015bci Wiz.io<\/a>.<\/p>\n\n\n\n W marcu 2025 we wtyczce Disable Elementor Editor Translation<\/strong> wykryto podatno\u015b\u0107 polegaj\u0105c\u0105 na braku sprawdzania autoryzacji (CVE-2025-22671). Luka ta umo\u017cliwia\u0142a nieuprawniony dost\u0119p do funkcji, kt\u00f3re powinny by\u0107 ograniczone. Baza podatno\u015bci Recorded Future<\/a> oceni\u0142a j\u0105 jako \u015bredniego poziomu (CVSS 4.3)<\/em>, jednak w po\u0142\u0105czeniu z innymi lukami mog\u0142a zak\u0142\u00f3ca\u0107 dzia\u0142anie strony.<\/p>\n\n\n\n Cho\u0107 wykryta pod koniec 2024 roku, podatno\u015b\u0107 XSS we wtyczce Wasim Pro Addons<\/strong> (CVE-2024-51812) pozostawa\u0142a istotna r\u00f3wnie\u017c w 2025 roku, poniewa\u017c wiele stron wci\u0105\u017c nie wprowadzi\u0142o aktualizacji. Luka dotyczy\u0142a wersji do 1.5.0<\/em> i zosta\u0142a za\u0142atana w 1.6.0<\/em>. Podatno\u015b\u0107 jest udokumentowana w bazie podatno\u015bci Wiz.io<\/a>.<\/p>\n\n\n\n\n
Startklar Elementor Addons – podatno\u015b\u0107 path traversal (CVE-2024-5153)<\/h3>\n\n\n\n
RomethemeKit for Elementor – zdalne wykonanie kodu (CVE-2025-30911)<\/h3>\n\n\n\n
Responsive Addons for Elementor – utrwalony Cross-Site Scripting (CVE-2025-2225)<\/h3>\n\n\n\n
Team Members for Elementor Page Builder – stored XSS (CVE-2025-31771)<\/h3>\n\n\n\n
Disable Elementor Editor Translation plugin – brak weryfikacji autoryzacji (CVE-2025-22671)<\/h3>\n\n\n\n
Wasim Pro Addons for Elementor – utrwalony XSS (CVE-2024-51812)<\/h3>\n\n\n\n
Trendy i wnioski: co pokazuj\u0105 te podatno\u015bci<\/h2>\n\n\n\n
\n
Jak zabezpieczy\u0107 stron\u0119 opart\u0105 o Elementora<\/h2>\n\n\n\n