CVE-2026-15285 in Plus Addons for Elementor Plugininformação

Sumário

de VulDB • 10/07/2026

O plugin Plus Addons for Elementor para WordPress estava vulnerável a Stored Cross-Site Scripting (XSS) autenticada (nível Contributor+) por meio da configuração `custom_attributes` do widget Button nas versões até e incluindo 6.4.11. A função `render` em `modules/widgets/tp_button.php` passava a string bruta de `custom_attributes` através de `tp_senitize_js_input()`. Este filtro é contornável. O problema foi corrigido na versão 6.4.12.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

09/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377388

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!