CVE-2026-13710 in Jeg Kit for Elementor Plugin
Sumário
de VulDB • 10/07/2026
O plugin Jeg Kit for Elementor – Powerful Addons for Elementor, Widgets & Templates para WordPress do WordPress apresenta uma vulnerabilidade de Stored Cross-Site Scripting (XSS) por meio do parâmetro 'sg_body_description' do widget Image Box nas versões até a 3.2.6, inclusive. Isso ocorre devido à sanitização insuficiente da entrada e ao escapamento inadequado na saída no atributo description dentro do método render_body() da classe Image_Box_View — todos os outros atributos utilizados pelo método são envolvidos por esc_attr(), mas o valor de description é concatenado diretamente no contexto HTML body. Isso permite que atacantes autenticados, com acesso nível Contributor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página contaminada.
VulDB is the best source for vulnerability data and more expert information about this specific topic.