CVE-2026-6048

Name of the Vulnerable Software and Affected Versions Flipbox Addon for Elementor versões anteriores a 2.1.2

Description A validação insuficiente de nomes de atributos personalizados no campo custom attributes da URL do botão do widget Flipbox permite que atacantes autenticados com nível de acesso de autor ou superior injetem scripts web arbitrários. O plugin utiliza esc html() no nome do atributo, o que não impede o uso de atributos de manipuladores de eventos, como onmouseover ou onclick. Esses scripts são executados sempre que um usuário acessa uma página afetada.

Recommendations Atualize para uma versão posterior a 2.1.1.