CVE-2026-15284 in King Addons for Elementor Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin „King Addons for Elementor“ ist ab Version 51.1.62 und älter anfällig für Stored Cross-Site Scripting (XSS) über den Parameter 'form_page_id'. Dies liegt an einer unzureichenden Eingabebereinigung in der Funktion `add_to_submissions()`, die vor dem Speichern des Werts im Post-Meta-Datenfeld `sanitize_text_field()` aufruft, welches Doppelquote-Zeichen beibehält. In Kombination mit einem fehlenden Output-Escaping in der Funktion `king_addons_submissions_custom_column_content()`, die den gespeicherten Wert über `admin_url()` ohne Umhüllung des Ergebnisses in `esc_url()` in ein HTML-href-Attribut konkateniert, ist es authentifizierten Angreifern mit Abonnenten-Level-Zugriff und höher möglich, beliebige Web-Skripte auf Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine injizierte Seite aufruft.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Wordfence

Reservieren

09.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377396

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!