CVE-2026-4885

Nome do Software Vulnerável e Versões Afetadas Piotnet Addons for Elementor Pro versões anteriores a 7.1.71

Descrição A falta de validação do tipo de arquivo na função pafe ajax form builder() permite que atacantes não autenticados façam o upload de arquivos arbitrários para o servidor. O plugin utiliza uma lista negra de extensões incompleta que não bloqueia extensões perigosas como .phar ou .phtml, o que pode levar à execução remota de código. Este problema só pode ser explorado se um campo de arquivo tiver sido adicionado ao formulário.

Recomendações Atualize para uma versão posterior a 7.1.70. Como medida paliativa temporária, evite adicionar campos de arquivo aos formulários até que a atualização seja aplicada.