CVE-2026-5428

Nome do Software Vulnerável e Versões Afetadas Royal Elementor Addons versões anteriores a 1.7.1057

Descrição O plugin Royal Elementor Addons para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado no widget Image Grid/Slider/Carousel. A falha existe na função render post thumbnail() devido à escape de saída insuficiente, especificamente onde wp kses post() é usado em vez de esc attr() para o contexto do atributo alt. Atacantes autenticados com nível de acesso de Autor ou superior podem injetar scripts web arbitrários por meio de legendas de imagens. Esses scripts são executados quando um usuário visualiza uma página que contém a imagem maliciosa exibida no widget de grade de mídia.

Recomendações Atualize o plugin para uma versão posterior a 1.7.1056. Como medida paliativa temporária, restrinja o acesso à função render post thumbnail() ou limite as permissões de usuários que podem editar legendas de imagens no widget Image Grid/Slider/Carousel.