CVE-2026-9281
ŚrednieCVSS 6.4Streszczenie
Wtyczka Master Addons For Elementor dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienie 'jtlma_custom_js'. Atakujący z dostępem na poziomie autora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Ocena ryzyka
Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym przejęcie sesji użytkowników lub kradzież danych. Wszyscy użytkownicy odwiedzający zainfekowane strony są narażeni na ryzyko.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole bezpieczeństwa dla użytkowników z dostępem na poziomie autora.
Oryginalny opis (angielski, źródło NVD)
The Master Addons For Elementor – Widgets, Extensions, Theme Builder, Popup Builder & Template Kits plugin for WordPress is vulnerable to Stored Cross-Site Scripting via 'jtlma_custom_js' Page Setting (Custom JS Extension) in all versions up to, and including, 3.1.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The unfiltered_html capability check is only enforced during Elementor control registration (UI rendering) and not during the save process, enabling Author-level users to inject the jtlma_custom_js setting directly via a crafted POST request to admin-ajax.php?action=elementor_ajax, bypassing the UI-level restriction entirely.

