Katalog CVE

CVE-2026-11380

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka JetWidgets For Elementor dla WordPressa do wersji 1.0.21 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS). Podatność wynika z niedostatecznego kodowania wyjścia i braku walidacji po stronie serwera ustawienia animation_effect w widżecie Animated Box, które jest renderowane w atrybucie klasy HTML. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas odwiedzenia zainfekowanej strony.

Ocena ryzyka

Organizacja narażona jest na kradzież sesji użytkowników, przejęcie kont oraz rozprzestrzenianie złośliwego oprogramowania poprzez wykonanie skryptów w przeglądarkach odwiedzających zainfekowane strony.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę JetWidgets For Elementor do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz widżet Animated Box lub ogranicz uprawnienia autorów.

Oryginalny opis (angielski, źródło NVD)

The JetWidgets For Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to and including 1.0.21. This is due to insufficient output escaping and missing server-side validation of the Animated Box widget's animation_effect setting before it is rendered inside an HTML class attribute. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS