CVE-2026-4885 in Addons for Elementor Pro Plugininformación

Resumen

por VulDB • 2026-05-19

El plugin Piotnet Addons for Elementor Pro para WordPress es vulnerable a la carga arbitraria de archivos debido a la falta de validación del tipo de archivo en la función 'pafe_ajax_form_builder' en todas las versiones hasta la 7.1.70, incluida. El plugin utiliza una lista negra de extensiones incompleta que solo bloquea las extensiones php, phpt, php5, php7 y exe, mientras permite la carga de extensiones peligrosas como .phar o .phtml. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución remota de código (RCE). Nota: La explotación solo es posible si se añade un campo de archivo al formulario.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-26

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364589

CPE

listo

EPSS

0.00084

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4885
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4885
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4885/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!