CVE-2026-15285 in Plus Addons for Elementor Plugin
الملخص
بحسب VulDB • 10/07/2026
كانت إضافة Plus Addons for Elementor لـ WordPress عرضة لهجوم تخزين Cross-Site Scripting (XSS) بعد المصادقة (بصلاحيات Contributor فأعلى) عبر إعداد `custom_attributes` في ويدجت الأزرار، في الإصدارات حتى 6.4.11 شاملاً. كانت دالة `render` الموجودة في الملف `modules/widgets/tp_button.php` تمرر سلسلة النص الخام لـ `custom_attributes` إلى خلال الدالة `tp_senitize_js_input()`. يمكن تجاوز هذا الفلتر. تم إصلاح هذه المشكلة في الإصدار 6.4.12.
If you want to get best quality of vulnerability data, you may have to visit VulDB.