CVE-2026-15299 in Animation Addons for Elementor Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用プラグイン「Animation Addons for Elementor」には、2.6.3を含むすべてのバージョンにおいて、天気ウィジェットの 'weather_style' および 'move_direction' パラメータを介して格納型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。これは、widgets/weather.php の 1246行目にある Weather ウィジェット内の render() 関数において出力エスケープが不十分であるためです。この箇所では、両方の設定値が esc_attr() を使用せずに HTML クラス属性に挿入されています。Elementorは、保存時にウィジェットの SELECT コントロールの値を許可されたオプションに対してサーバーサイドで検証しないため、寄稿者レベル以上のアクセス権を持つ認証済み攻撃者は、任意の値を _elementor_data 投稿メタデータに格納するよう仕掛けられた save_builder AJAX リクエストを送信できます。保存されたペイロードは、影響を受けるページへのフロントエンド訪問ごとにエスケープされずにレンダリングされます(このウィジェットを使用しているサイトでは通常の状態であるため、天気ウィジェットには OpenWeatherMap API キーが必要です)。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Wordfence

予約する

2026年07月09日

モデレーション

承諾済み

エントリ

VDB-377398

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!