CVE-2026-15285 in Plus Addons for Elementor Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin „Plus Addons for Elementor“ war in den Versionen bis einschließlich 6.4.11 anfällig für eine authentifizierte (Contributor+) Stored Cross-Site Scripting (XSS)-Schwachstelle über die Einstellung `custom_attributes` des Button-Widgets. Die Funktion `render` in `modules/widgets/tp_button.php` übergab den rohen String von `custom_attributes` durch `tp_senitize_js_input()`. Dieser Filter ist umgehbar. Das Problem wurde in Version 6.4.12 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.