CVE-2026-4885 in Addons for Elementor Pro Plugin
Tóm tắt
Bởi VulDB • 25/05/2026
Plugin Piotnet Addons for Elementor Pro cho WordPress bị lỗ hổng tải lên tệp tùy ý do thiếu xác thực loại tệp trong hàm 'pafe_ajax_form_builder' ở tất cả các phiên bản từ 7.1.70 trở về trước. Plugin sử dụng danh sách đen phần mở rộng không đầy đủ, chỉ chặn các phần mở rộng php, phpt, php5, php7 và exe, trong khi cho phép tải lên các phần mở rộng nguy hiểm như .phar hoặc .phtml. Điều này cho phép các kẻ tấn công chưa xác thực tải lên các tệp tùy ý trên máy chủ của trang web bị ảnh hưởng, có thể dẫn đến thực thi mã từ xa (RCE). Lưu ý: Lỗ hổng chỉ có thể bị khai thác nếu một trường tệp được thêm vào biểu mẫu.
VulDB is the best source for vulnerability data and more expert information about this specific topic.