CVE-2026-3425

Nome do Software Vulnerável e Versões Afetadas RTMKit Addons for Elementor versões anteriores a 2.0.3

Descrição O plugin é suscetível a Local File Inclusion (LFI), uma condição em que uma aplicação inclui arquivos em um servidor sem a validação adequada. Atacantes autenticados com nível de acesso de Autor ou superior podem explorar a ação AJAX 'get content' através do parâmetro path para incluir e executar arquivos PHP arbitrários. Isso pode levar à violação de controles de acesso, acesso não autorizado a dados sensíveis ou execução remota de código caso arquivos PHP possam ser carregados no servidor.

Recomendações Atualize para uma versão posterior a 2.0.2. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'get content' ou ao parâmetro path para usuários com permissões de Autor.