Katalog CVE

CVE-2026-9243

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Plus Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'carousel_direction' w widżecie Carousel Anything w wersjach do 6.4.15 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcji render(), gdzie wartość carousel_direction jest umieszczana w niecytowanym atrybucie HTML (dir=), co pozwala na wstrzykiwanie atrybutów mimo użycia esc_attr().

Ocena ryzyka

Atakujący z dostępem na poziomie współpracownika lub wyższym może wstrzykiwać dowolne skrypty webowe na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony. To stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników oraz integralności strony.

Rekomendacja

Zaleca się aktualizację wtyczki Plus Addons dla Elementora do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalne wstrzyknięte skrypty.

Oryginalny opis (angielski, źródło NVD)

The Plus Addons for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'carousel_direction' parameter of the Carousel Anything widget in versions up to, and including, 6.4.15 This is due to insufficient output escaping in the render() function, where the carousel_direction value is placed into an unquoted HTML attribute (dir=) allowing attribute injection despite the use of esc_attr(). This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS