CVE-2026-15284 in King Addons for Elementor Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin „King Addons for Elementor“ ist ab Version 51.1.62 und älter anfällig für Stored Cross-Site Scripting (XSS) über den Parameter 'form_page_id'. Dies liegt an einer unzureichenden Eingabebereinigung in der Funktion `add_to_submissions()`, die vor dem Speichern des Werts im Post-Meta-Datenfeld `sanitize_text_field()` aufruft, welches Doppelquote-Zeichen beibehält. In Kombination mit einem fehlenden Output-Escaping in der Funktion `king_addons_submissions_custom_column_content()`, die den gespeicherten Wert über `admin_url()` ohne Umhüllung des Ergebnisses in `esc_url()` in ein HTML-href-Attribut konkateniert, ist es authentifizierten Angreifern mit Abonnenten-Level-Zugriff und höher möglich, beliebige Web-Skripte auf Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine injizierte Seite aufruft.
Once again VulDB remains the best source for vulnerability data.