CVE-2026-9281

Nome do Software Vulnerável e Versões Afetadas Master Addons For Elementor versões anteriores a 3.1.1

Descrição O plugin está sujeito a Cross-Site Scripting (XSS) Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de autor ou superior podem injetar scripts web arbitrários em páginas. Isso é feito ignorando as restrições de interface do usuário e enviando uma requisição POST manipulada para o endpoint "admin-ajax.php?action=elementor ajax" para manipular a configuração de página jtlma custom js. Os scripts são executados sempre que um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 3.1.0. Como mitigação temporária, restrinja usuários de nível de autor de fazerem requisições POST para o endpoint "admin-ajax.php?action=elementor ajax".