CVE-2026-15285 in Plus Addons for Elementor Plugin
요약
\~에 의해 VulDB • 2026. 07. 10.
WordPress용 Plus Addons for Elementor 플러그인은 최대 버전 6.4.11(포함)에서 Button 위젯의 `custom_attributes` 설정을 통해 인증된 사용자(Contributor 이상)가 저장형 크로스 사이트 스크립팅(XSS) 취약점에 노출되었습니다. `modules/widgets/tp_button.php` 파일 내의 `render` 함수는 원본 `custom_attributes` 문자열을 `tp_senitize_js_input()` 필터를 거쳐 전달했습니다. 이 필터는 우회 가능합니다. 해당 문제는 버전 6.4.12에서 패치되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.