CVE-2026-15299 in Animation Addons for Elementor Plugin
Sumário
de VulDB • 10/07/2026
O plugin Animation Addons para Elementor do WordPress é vulnerável a Stored Cross-Site Scripting via os parâmetros 'weather_style' e 'move_direction' do widget Weather em todas as versões até 2.6.3, inclusive. Isso ocorre devido à falta de escape adequado na saída da função render() do widget Weather no arquivo widgets/weather.php:1246, onde ambos os valores das configurações são inseridos em um atributo HTML class sem o uso de esc_attr(). O Elementor não valida lado servidor (server-side) os valores dos controles SELECT do widget contra as opções permitidas ao salvar, portanto, um atacante autenticado com acesso nível Contribuidor ou superior pode enviar uma requisição AJAX save_builder manipulada para armazenar valores arbitrários no post meta _elementor_data. O payload armazenado é renderizado sem escape em cada visita frontend à página afetada (o widget Weather requer uma chave de API do OpenWeatherMap para alcançar a saída vulnerável, o que representa o estado operacional normal para sites que utilizam este widget).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.