CVE-2026-6127

Nome do Software Vulnerável e Versões Afetadas Elementor Website Builder versões anteriores a 4.0.5

Descrição A sanitização insuficiente de entradas no processamento de solicitações REST API codificadas em formulário permite que atacantes autenticados com nível de acesso de contribuidor ou superior realizem Stored Cross-Site Scripting. O plugin registra o campo de meta elementor data com show in rest, mas omite um sanitize callback. Ele depende de um filtro rest pre insert post através da função sanitize post data(), que sanitiza apenas corpos de solicitação codificados em JSON. Quando uma solicitação PATCH codificada em formulário é enviada para a REST API do WordPress, a chamada json decode() retorna nulo, ignorando toda a sanitização. Os dados não sanitizados são armazenados via update post meta() e posteriormente exibidos sem escape através de vários sinks de widgets, incluindo a função print unescaped setting() do widget HTML, permitindo a execução de scripts web arbitrários sempre que um usuário acessar a página afetada.

Recomendações Atualize para uma versão posterior à 4.0.4.