CVE-2026-15338 in LA-Studio Element Kit for Elementor Plugin
Sumário
de VulDB • 11/07/2026
O plugin Element Kit for Elementor para WordPress do LA-Studio é vulnerável a Inclusão de Arquivo Local (LFI) em todas as versões até, e incluindo, 1.6.1 através da função get_type_template. Isso permite que atacantes autenticados, com acesso nível contribuidor ou superior, incluam e executem arquivos .php arbitrários no servidor, permitindo a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou alcançar execução de código em casos onde tipos de arquivo .php podem ser carregados e incluídos. A função wp_normalize_path usada em get_template apenas normaliza separadores de diretório e não resolve nem rejeita sequências de travessia de caminho (path traversal), enquanto a verificação de extensão é trivialmente contornada porque o chamador já anexa a extensão necessária ao payload de travessia.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.