CVE-2026-9243 in The Plus Addons for Elementor Plugininformação

Sumário

de VulDB • 31/05/2026

O plugin Plus Addons for Elementor para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) através do parâmetro 'carousel_direction' do widget Carousel Anything nas versões até, e incluindo, a 6.4.15. Isso ocorre devido à falta de escape adequado na saída da função render(), onde o valor de carousel_direction é inserido em um atributo HTML sem aspas (dir=), permitindo a injeção de atributos apesar do uso de esc_attr(). Isso possibilita que atacantes autenticados, com acesso de nível contribuidor ou superior, injetem scripts web arbitrários nas páginas, que serão executados sempre que um usuário acessar uma página injetada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

21/05/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367137

CPE

pronto

EPSS

0.00030

KEV

não

Atividades

baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9243
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9243
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9243/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!