CVE-2026-5159

Nome do Software Vulnerável e Versões Afetadas Royal Addons for Elementor versões anteriores a 1.7.1057

Descrição O plugin Royal Addons for Elementor para WordPress contém um problema de Stored Cross-Site Scripting no widget Instagram Feed. A falha reside na configuração instagram follow text devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso Contributor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário visita a página afetada. A exploração requer que um administrador tenha configurado previamente o widget Instagram Feed com um token de acesso válido do Instagram.

Recomendações Atualize o plugin para uma versão posterior à 1.7.1056. Como medida paliativa temporária, restrinja o acesso à configuração instagram follow text no widget Instagram Feed a usuários com privilégios mais elevados ou evite usar essa configuração específica até que a atualização seja aplicada.