CVE-2026-11603

Nome do Software Vulnerável e Versões Afetadas Product Filter Widget for Elementor versões anteriores a 1.0.7

Description A sanitização insuficiente de entrada e a escape de saída inadequada permitem que atacantes não autenticados injetem scripts web arbitrários. Isso é realizado por meio de um envio automático de formulário estilo CSRF para o endpoint 'admin-ajax.php', que é registrado via wp ajax nopriv sem verificação de nonce ou checagem de capacidade. O problema é acionado através do parâmetro args[filterFormArray]. A exploração requer enganar um usuário para que ele visite uma página controlada pelo atacante para executar os scripts.

Recommendations Atualize para uma versão posterior a 1.0.6.