CVE-2026-11380
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka JetWidgets For Elementor dla WordPressa do wersji 1.0.21 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS). Podatność wynika z niedostatecznego kodowania wyjścia i braku walidacji po stronie serwera ustawienia animation_effect w widżecie Animated Box, które jest renderowane w atrybucie klasy HTML. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas odwiedzenia zainfekowanej strony.
Ocena ryzyka
Organizacja narażona jest na kradzież sesji użytkowników, przejęcie kont oraz rozprzestrzenianie złośliwego oprogramowania poprzez wykonanie skryptów w przeglądarkach odwiedzających zainfekowane strony.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę JetWidgets For Elementor do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz widżet Animated Box lub ogranicz uprawnienia autorów.
Oryginalny opis (angielski, źródło NVD)
The JetWidgets For Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to and including 1.0.21. This is due to insufficient output escaping and missing server-side validation of the Animated Box widget's animation_effect setting before it is rendered inside an HTML class attribute. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

