CVE-2026-15155 in Essential Addons for Elementor Plugin情報

要約

〜によって VulDB • 2026年07月11日

The Essential Addons for Elementor – Popular Elementor Templates & Widgets plugin for WordPress è vulnerabile ad Account Takeover autenticato tramite Email Header Injection in tutte le versioni fino alla 6.6.10 inclusa. Ciò è dovuto a una validazione insufficiente lato server di un'impostazione del widget Login/Register utilizzata per costruire gli header delle email in uscita: la restrizione sui valori consentiti viene applicata solo nell'interfaccia utente (UI) dell'editor client-side e non sul server, e la sanitizzazione applicata non rimuove né codifica i caratteri CR/LF, permettendo alle sequenze CRLF memorizzate in tale impostazione di sopravvivere negli header delle email grezzi. Ciò consente agli attaccanti autenticati, con accesso a livello Contributor o superiore, di iniettare un ulteriore header Bcc nell'email di notificazione per il reset della password dell'amministratore WordPress, ricevere una copia del link valido per il reset della password dell'amministratore e ottenere il pieno controllo (Account Takeover) dell'account amministratore.

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-377768

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Do you know our Splunk app?

Download it now for free!