CVE-2026-1572

Name of the Vulnerable Software and Affected Versions Livemesh Addons for Elementor versões anteriores a 9.1

Description O plugin permite a modificação não autorizada de dados e Cross-Site Scripting (XSS) Armazenado através das configurações do plugin. Isso ocorre porque o manipulador AJAX lae admin ajax() carece de verificações de autorização e múltiplos campos de configuração de caixa de seleção possuem escape de saída insuficiente. Atacantes autenticados com nível de acesso de Assinante ou superior podem injetar scripts web arbitrários na página de configurações do plugin. Esses scripts são executados quando um administrador acessa a página, desde que o atacante obtenha um nonce válido, que pode ser vazado devido ao controle de acesso inadequado nas páginas de configurações.

Recommendations Atualize para uma versão posterior a 9.0.