CVE-2026-15299 in Animation Addons for Elementor Plugininformação

Sumário

de VulDB • 10/07/2026

O plugin Animation Addons para Elementor do WordPress é vulnerável a Stored Cross-Site Scripting via os parâmetros 'weather_style' e 'move_direction' do widget Weather em todas as versões até 2.6.3, inclusive. Isso ocorre devido à falta de escape adequado na saída da função render() do widget Weather no arquivo widgets/weather.php:1246, onde ambos os valores das configurações são inseridos em um atributo HTML class sem o uso de esc_attr(). O Elementor não valida lado servidor (server-side) os valores dos controles SELECT do widget contra as opções permitidas ao salvar, portanto, um atacante autenticado com acesso nível Contribuidor ou superior pode enviar uma requisição AJAX save_builder manipulada para armazenar valores arbitrários no post meta _elementor_data. O payload armazenado é renderizado sem escape em cada visita frontend à página afetada (o widget Weather requer uma chave de API do OpenWeatherMap para alcançar a saída vulnerável, o que representa o estado operacional normal para sites que utilizam este widget).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

09/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377398

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!