CVE-2026-6229

Nome do Software Vulnerável e Versões Afetadas Royal Elementor Addons versões anteriores a 1.7.1058

Descrição O plugin Royal Elementor Addons para WordPress contém um problema de Server-Side Request Forgery (SSRF). Isso ocorre porque a função render csv data() não valida adequadamente as URLs fornecidas pelo usuário, o que pode ser burlado ao incluir 'docs.google.com/spreadsheets' em um parâmetro de consulta. Essas URLs são então usadas em chamadas fopen() sem o bloqueio de endereços de rede internos ou privados. Atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem explorar isso para fazer requisições a URLs arbitrárias e recuperar informações sensíveis de serviços internos.

Recomendações Atualize o plugin para uma versão posterior a 1.7.1057. Como medida paliativa temporária, restrinja o acesso à função render csv data() para minimizar o risco de exploração.