CVE-2025-13535 in King Addons for Elementor Plugininformazioni

Riassunto

di VulDB • 16/06/2026

Il plugin King Addons for Elementor per WordPress è vulnerabile a più vulnerabilità DOM-Based Stored Cross-Site Scripting (XSS) di tipo Contributor+ in tutte le versioni fino alla 51.1.38, inclusa. Ciò è dovuto a una sanitizzazione insufficiente degli input e a un escaping inadeguato dell'output su diversi widget e funzionalità. Il plugin utilizza esc_attr() ed esc_url() all'interno di handler di eventi inline JavaScript (attributi onclick), il che consente al DOM di decodificare le entità HTML, permettendo agli attaccanti di uscire dal contesto JavaScript. Inoltre, diversi file JavaScript utilizzano metodi di manipolazione del DOM non sicuri (template literals, .html(), e window.location.href con URL non validati) con dati controllati dall'utente. Ciò rende possibile per gli attaccanti autenticati, con accesso a livello Contributor o superiore, iniettare script web arbitrari tramite le impostazioni dei widget Elementor che vengono eseguiti quando un utente accede alla pagina iniettata o quando un amministratore visualizza l'anteprima della pagina nell'editor di Elementor. La vulnerabilità è stata parzialmente corretta nella versione 5.1.51.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

22/11/2025

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00241

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!