CVE-2026-13710 in Jeg Kit for Elementor Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin per WordPress Jeg Kit for Elementor – Powerful Addons for Elementor, Widgets & Templates for WordPress è vulnerabile ad una Stored Cross-Site Scripting (XSS) tramite il parametro 'sg_body_description' del widget Image Box nelle versioni fino alla 3.2.6 incluse. La vulnerabilità è dovuta a un insufficiente sanitizzazione degli input e escaping dell'output sull'attributo description nel metodo render_body() della classe Image_Box_View: tutti gli altri attributi utilizzati dal metodo sono racchiusi in esc_attr(), mentre il valore di description viene concatenato direttamente nel contesto del corpo HTML. Ciò consente agli attaccanti autenticati, con accesso a livello Contributor o superiore, di iniettare script web arbitrari nelle pagine che verranno eseguiti ogni volta che un utente accede a una pagina infetta.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

29/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!