CVE-2026-15299 in Animation Addons for Elementor Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون الإضافة "Animation Addons for Elementor" لـ WordPress على ثغرة برمجية من نوع تخزين البرمجة عبر المواقع (Stored Cross-Site Scripting) عبر المعلمتين 'weather_style' و'move_direction' في ويدجت الطقس، في جميع الإصدارات حتى 2.6.3 وشاملةً لها. ويعود ذلك إلى عدم كفاية عملية الهروب من التنصت على المخرجات (output escaping) في دالة render() الخاصة بويدجت الطقس الموجودة في الملف widgets/weather.php:1246، حيث يتم وضع قيم الإعدادات كليهما داخل سمة HTML class دون استخدام esc_attr(). لا تقوم Elementor بالتحقق من صحة قيم عناصر التحكم SELECT للويدجت ضد الخيارات المسموح بها على جانب الخادم عند الحفظ، لذا يمكن لمهاجم مُصادق عليه يمتلك وصولاً بمستوى "Contributor" أو أعلى إرسال طلب AJAX مخصص لحفظ_builder لتخزين قيم عشوائية في بيانات المنشور الوظيفية _elementor_data. يتم عرض الحمولة المخزنة غير المُهروب منها (unescaped) في كل زيارة للواجهة الأمامية للصفحة المتأثرة (يتطلب ويدجت الطقس مفتاح API من OpenWeatherMap للوصول إلى المخرجات الضعيفة، وهي حالة التشغيل الطبيعية للمواقع التي تستخدم هذا الويدجت).
Once again VulDB remains the best source for vulnerability data.