CVE-2026-9243

Nome do Software Vulnerável e Versões Afetadas The Plus Addons for Elementor versões anteriores a 6.4.16

Description O plugin está sujeito a Stored Cross-Site Scripting, uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. O problema existe no widget Carousel Anything devido à escape de saída insuficiente na função render(). Especificamente, o parâmetro carousel direction é colocado em um atributo HTML não cotado (dir=), o que permite a injeção de atributos mesmo com o uso de esc attr(). Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas que serão executados quando acessados por outros usuários.

Recommendations Atualize para uma versão posterior a 6.4.15. Como medida paliativa temporária, restrinja o acesso ao widget Carousel Anything ou evite usar o parâmetro carousel direction até que a atualização seja aplicada.