PT-2026-57416 · WordPress · Essential Addons For Elementor
Jonah Burgess
·
Publicado
2026-07-11
·
Atualizado
2026-07-11
·
CVE-2026-15155
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
The Essential Addons for Elementor versões anteriores a 6.6.11
Descrição
A validação insuficiente no lado do servidor de uma configuração do widget de Login/Register permite que atacantes autenticados com nível de acesso Contribuidor ou superior realizem a Injeção de Cabeçalho de E-mail. A restrição de valores permitidos é aplicada apenas na interface do editor do lado do cliente, e o processo de sanitização não remove nem codifica caracteres de Retorno de Carro (CR) e Alimentação de Linha (LF). Isso permite que sequências CRLF sejam injetadas nos cabeçalhos de e-mail brutos, possibilitando que um atacante adicione um cabeçalho Bcc ao e-mail de notificação de redefinição de senha do administrador do WordPress. Ao receber uma cópia do link válido de redefinição de senha, o atacante pode assumir totalmente a conta do administrador.
Recomendações
Atualize para a versão 6.6.11 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Essential Addons For Elementor