PT-2026-57416 · WordPress · Essential Addons For Elementor

Jonah Burgess

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2026-15155

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas The Essential Addons for Elementor versões anteriores a 6.6.11
Descrição A validação insuficiente no lado do servidor de uma configuração do widget de Login/Register permite que atacantes autenticados com nível de acesso Contribuidor ou superior realizem a Injeção de Cabeçalho de E-mail. A restrição de valores permitidos é aplicada apenas na interface do editor do lado do cliente, e o processo de sanitização não remove nem codifica caracteres de Retorno de Carro (CR) e Alimentação de Linha (LF). Isso permite que sequências CRLF sejam injetadas nos cabeçalhos de e-mail brutos, possibilitando que um atacante adicione um cabeçalho Bcc ao e-mail de notificação de redefinição de senha do administrador do WordPress. Ao receber uma cópia do link válido de redefinição de senha, o atacante pode assumir totalmente a conta do administrador.
Recomendações Atualize para a versão 6.6.11 ou posterior.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15155

Produtos afetados

Essential Addons For Elementor