CVE-2026-8677

Nome do Software Vulnerável e Versões Afetadas Prime Elementor Addons versões anteriores a 1.3.4

Descrição A sanitização de entrada e a escape de saída insuficientes nas Configurações de Tag HTML do Widget permitem que atacantes autenticados com acesso de nível de contribuidor ou superior realizem Cross-Site Scripting Armazenado. Isso ocorre porque payloads sem colchetes HTML, como img src=x onerror=alert(document.domain), ignoram o filtro wp kses post(), permitindo a injeção de scripts web arbitrários que são executados quando um usuário visita a página afetada.

Recomendações Atualize para uma versão posterior a 1.3.3.