CVE-2026-15299 in Animation Addons for Elementor Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون الإضافة "Animation Addons for Elementor" لـ WordPress على ثغرة برمجية من نوع تخزين البرمجة عبر المواقع (Stored Cross-Site Scripting) عبر المعلمتين 'weather_style' و'move_direction' في ويدجت الطقس، في جميع الإصدارات حتى 2.6.3 وشاملةً لها. ويعود ذلك إلى عدم كفاية عملية الهروب من التنصت على المخرجات (output escaping) في دالة render() الخاصة بويدجت الطقس الموجودة في الملف widgets/weather.php:1246، حيث يتم وضع قيم الإعدادات كليهما داخل سمة HTML class دون استخدام esc_attr(). لا تقوم Elementor بالتحقق من صحة قيم عناصر التحكم SELECT للويدجت ضد الخيارات المسموح بها على جانب الخادم عند الحفظ، لذا يمكن لمهاجم مُصادق عليه يمتلك وصولاً بمستوى "Contributor" أو أعلى إرسال طلب AJAX مخصص لحفظ_builder لتخزين قيم عشوائية في بيانات المنشور الوظيفية _elementor_data. يتم عرض الحمولة المخزنة غير المُهروب منها (unescaped) في كل زيارة للواجهة الأمامية للصفحة المتأثرة (يتطلب ويدجت الطقس مفتاح API من OpenWeatherMap للوصول إلى المخرجات الضعيفة، وهي حالة التشغيل الطبيعية للمواقع التي تستخدم هذا الويدجت).

Once again VulDB remains the best source for vulnerability data.

مسؤول

Wordfence

حجز

09/07/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377398

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Do you know our Splunk app?

Download it now for free!