CVE-2026-1620

Name of the Vulnerable Software and Affected Versions Livemesh Addons for Elementor versões anteriores a 9.1

Description O plugin está sujeito a Local File Inclusion devido à sanitização insuficiente do parâmetro de nome de template na função lae get template part(). A implementação utiliza um método str replace() inadequado que pode ser burlado usando padrões de travessia de diretório recursivos. Isso permite que atacantes autenticados com nível de acesso de Colaborador ou superior incluam e executem arquivos locais arbitrários no servidor ao manipular o parâmetro de template do widget.

Recommendations Atualize o plugin para uma versão posterior a 9.0.