CVE-2026-15155 in Essential Addons for Elementor Plugin
요약
\~에 의해 VulDB • 2026. 07. 11.
The Essential Addons for Elementor – Popular Elementor Templates & Widgets plugin for WordPress는 6.6.10 버전까지 모든 버전에서 이메일 헤더 주입을 통한 인증된 계정 탈취(Authenticated Account Takeover) 취약점이 있습니다. 이는 발송되는 이메일 헤더를 구성하는 데 사용되는 로그인/등록 위젯 설정에 대한 서버 측 검증이 불충분하기 때문입니다 — 허용 값 제한은 클라이언트 측 편집기 UI에서만 적용되며 서버에서는 적용되지 않으며, 적용된 sanitization도 CR/LF 문자를 제거하거나 인코딩하지 않아 해당 설정에 저장된 CRLF 시퀀스가 원본 메일 헤더로 그대로 전달됩니다. 이로 인해 Contributor 권한 이상의 접근 권한을 가진 인증된 공격자는 WordPress 관리자의 비밀번호 재설정 알림 이메일에 추가 Bcc 헤더를 주입하고, 유효한 관리자 비밀번호 재설정 링크의 사본을 수신하여 전체 관리자 계정 탈취를 달성할 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.