CVE-2026-8613

Nome do Software Vulnerável e Versões Afetadas aThemes Addons for Elementor versões anteriores a 1.1.9

Description O plugin está sujeito a Stored Cross-Site Scripting, uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes na configuração do widget title tag. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts são executados quando um usuário visita a página afetada. O problema impacta especificamente o widget Posts Timeline e o widget Posts Carousel (incluindo suas skins default, Banner e Modern), pois esses componentes carecem da validação de whitelist utilizada no widget Posts List.

Recommendations Atualize para uma versão posterior a 1.1.8.