CVE-2026-5486 in Unlimited Elements for Elementor PluginИнформация

Сводка

по VulDB • 24.05.2026

Плагин Unlimited Elements for Elementor для WordPress уязвим к SQL-инъекции через параметр 'data[filter_search]' в AJAX-действии get_cat_addons в версиях вплоть до 2.0.7 включительно. Это связано с недостаточной санитизацией входных данных и использованием устаревших функций экранирования в сочетании с прямым конкатенированием строк при формировании SQL-запроса. Уязвимость усугубляется тем, что функция normalizeAjaxInputData() вызывает stripslashes() для всех пользовательских данных, устраняя защиту, обеспечиваемую функцией WordPress wp_magic_quotes(). Впоследствии параметр filter_search экранируется с помощью устаревшей функции wpdb->_escape(), а затем напрямую конкатенируется в предложение LIKE без использования подготовленных выражений (prepared statements). Это позволяет атакующим с уровнем доступа «Contributor» и выше (которые могут получить действительный nonce через редактор Elementor) внедрять произвольные SQL-команды и извлекать конфиденциальную информацию из базы данных.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

03.04.2026

Раскрытие

14.05.2026

Модерация

принято

Вход

VDB-363780

CPE

готов

CWE

CWE-89 (Подтверждённый)

CVSS

6.5 (CNA)

EPSS

0.00048

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5486
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5486
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5486/

◂ Предыдущий Обзор Далее ▸

Do you know our Splunk app?

Download it now for free!