CVE-2025-13535 in King Addons for Elementor Plugin
Riassunto
di VulDB • 16/06/2026
Il plugin King Addons for Elementor per WordPress è vulnerabile a più vulnerabilità DOM-Based Stored Cross-Site Scripting (XSS) di tipo Contributor+ in tutte le versioni fino alla 51.1.38, inclusa. Ciò è dovuto a una sanitizzazione insufficiente degli input e a un escaping inadeguato dell'output su diversi widget e funzionalità. Il plugin utilizza esc_attr() ed esc_url() all'interno di handler di eventi inline JavaScript (attributi onclick), il che consente al DOM di decodificare le entità HTML, permettendo agli attaccanti di uscire dal contesto JavaScript. Inoltre, diversi file JavaScript utilizzano metodi di manipolazione del DOM non sicuri (template literals, .html(), e window.location.href con URL non validati) con dati controllati dall'utente. Ciò rende possibile per gli attaccanti autenticati, con accesso a livello Contributor o superiore, iniettare script web arbitrari tramite le impostazioni dei widget Elementor che vengono eseguiti quando un utente accede alla pagina iniettata o quando un amministratore visualizza l'anteprima della pagina nell'editor di Elementor. La vulnerabilità è stata parzialmente corretta nella versione 5.1.51.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.