CVE-2026-15285 in Plus Addons for Elementor Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

كانت إضافة Plus Addons for Elementor لـ WordPress عرضة لهجوم تخزين Cross-Site Scripting (XSS) بعد المصادقة (بصلاحيات Contributor فأعلى) عبر إعداد `custom_attributes` في ويدجت الأزرار، في الإصدارات حتى 6.4.11 شاملاً. كانت دالة `render` الموجودة في الملف `modules/widgets/tp_button.php` تمرر سلسلة النص الخام لـ `custom_attributes` إلى خلال الدالة `tp_senitize_js_input()`. يمكن تجاوز هذا الفلتر. تم إصلاح هذه المشكلة في الإصدار 6.4.12.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

09/07/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377388

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!