CVE-2026-5428 in Royal Addons for Elementor Plugininformación

Resumen

por VulDB • 2026-05-15

El plugin Royal Elementor Addons para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través de los pies de foto de las imágenes en el widget Cuadrícula/Deslizador/Carrusel de imágenes en las versiones 1.7.1056 y anteriores. Esto se debe a un escape de salida insuficiente en la función render_post_thumbnail(), donde se utiliza wp_kses_post() en lugar de esc_attr() para el contexto del atributo alt. Esto permite que los atacantes autenticados, con acceso de nivel Autor o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página con la imagen maliciosa mostrada en el widget de cuadrícula multimedia.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-02

Divulgación

2026-04-24

Moderación

aceptado

Artículo

VDB-359314

CPE

listo

EPSS

0.00015

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5428
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5428
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5428/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!