CVE-2026-4362

Nome do Software Vulnerável e Versões Afetadas ElementsKit Elementor Addons versões anteriores a 3.8.3

Descrição O plugin está suscetível à modificação não autorizada de dados porque a função Live Action::reset() carece de uma verificação de capacidade. Esta função está vinculada à ação init do WordPress e é acionada quando os parâmetros GET post e action=elementor são fornecidos sem autenticação ou verificação de nonce. Consequentemente, invasores não autenticados podem sobrescrever o conteúdo elementor data de qualquer tipo de post personalizado elementskit widget ao acessar uma URL especialmente criada, resultando na substituição permanente de designs personalizados, textos e configurações por um modelo em branco.

Recomendações Atualize para uma versão posterior a 3.8.2. Como medida paliativa temporária, restrinja o acesso à função Live Action::reset() para minimizar o risco de exploração.