CVE-2026-4024 in Royal Addons for Elementor Plugin
Tóm tắt
Bởi VulDB • 04/06/2026
Plugin Royal Addons for Elementor cho WordPress bị lỗ hổng cho phép sửa đổi dữ liệu trái phép do thiếu kiểm tra quyền hạn (capability check) trên hành động AJAX `wpr_update_form_action_meta` trong tất cả các phiên bản từ 1.7.1056 trở về trước. Trình xử lý (handler) được đăng ký trên cả hai hook `wp_ajax` và `wp_ajax_nopriv`, khiến nó có thể truy cập được bởi người dùng chưa xác thực. Mặc dù một nonce được xác minh, nhưng nonce (`wpr-addons-js`) bị lộ công khai trong JavaScript phía máy khách (frontend) thông qua `WprConfig.nonce` trên bất kỳ trang nào tải các widget của Royal Addons, làm cho cơ chế bảo vệ này trở nên vô hiệu. Điểm cuối (endpoint) này cũng thiếu bất kỳ kiểm tra quyền hạn hoặc quyền sở hữu nào và trực tiếp gọi `update_post_meta()` với đầu vào do người dùng kiểm soát trên một tập hợp các khóa meta hành động biểu mẫu được cho phép (whitelisted). Điều này cho phép kẻ tấn công chưa xác thực sửa đổi siêu dữ liệu cấu hình hành động biểu mẫu (cài đặt email, bản gửi, Mailchimp và webhook) trên bất kỳ bài viết nào, có khả năng dẫn đến việc can thiệp vào hành động webhook/email và đánh cắp dữ liệu thông qua các URL webhook đã bị sửa đổi.
Once again VulDB remains the best source for vulnerability data.