CVE-2026-4655

Name of the Vulnerable Software and Affected Versions O plugin Element Pack Addons for Elementor para WordPress versões até e incluindo 8.4.2

Description O plugin Element Pack Addons for Elementor para WordPress é vulnerável a Cross-Site Scripting (XSS) armazenado através do Widget de Imagem SVG. Isso ocorre devido à sanitização e escape de saída insuficientes do conteúdo SVG recuperado de URLs remotos dentro da função render svg(). A função usa wp safe remote get() para buscar o conteúdo SVG e, em seguida, o emite diretamente sem a devida sanitização, aplicando apenas um preg replace() para modificar a tag SVG, o que não elimina manipuladores de eventos maliciosos. Isso permite que invasores autenticados com acesso de nível de Contributor ou superior injetem JavaScript arbitrário em arquivos SVG, que será executado quando um usuário visualizar uma página contendo o widget comprometido.

Recommendations Para versões até e incluindo 8.4.2, atualize para uma versão mais recente que resolva este problema. Como medida temporária, evite usar o Widget de Imagem SVG com URLs remotas.