CVE-2026-5243: XSS in The Plus Addons for Elementor
Plattform
wordpress
Komponente
the-plus-addons-for-elementor-page-builder
Behoben in
6.4.12
CVE-2026-5243 describes a stored Cross-Site Scripting (XSS) vulnerability discovered in The Plus Addons for Elementor, a popular WordPress plugin. This vulnerability allows authenticated attackers, possessing contributor-level access or higher, to inject arbitrary web scripts. The vulnerability affects versions from 0.0.0 up to and including 6.4.11, and a fix is available in version 6.4.12.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarien
Successful exploitation of CVE-2026-5243 allows an attacker to execute malicious JavaScript code within the context of a user's browser when they visit a compromised page. This can lead to various consequences, including session hijacking, defacement of the website, redirection to malicious sites, and theft of sensitive information like cookies and login credentials. The impact is amplified if the website handles sensitive user data or performs critical business functions. Given the plugin's popularity, a widespread exploitation could affect numerous WordPress sites.
Ausnutzungskontext
CVE-2026-5243 was published on 2026-05-14. Its severity is currently assessed as medium. There are no known public exploits or active campaigns targeting this vulnerability at the time of writing. The vulnerability is not listed on KEV or EPSS. Monitor security advisories and threat intelligence feeds for any updates regarding exploitation attempts.
Bedrohungsanalyse
Exploit-Status
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Niedrig — jedes gültige Benutzerkonto ist ausreichend.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
- Confidentiality
- Niedrig — partieller oder indirekter Zugriff auf einige Daten.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
Mitigation und Workarounds
The primary mitigation for CVE-2026-5243 is to immediately upgrade The Plus Addons for Elementor to version 6.4.12 or later. If upgrading is not immediately feasible due to compatibility issues or testing requirements, consider temporarily restricting access to the affected Navigation Menu Lite widget to prevent new injections. While a direct WAF rule is difficult to implement due to the nature of XSS, input validation and output encoding on the server-side can provide an additional layer of defense. After upgrading, verify the fix by attempting to inject a simple JavaScript payload through the menuhoverclick parameter and confirming that it is properly sanitized.
So beheben
Aktualisieren Sie auf Version 6.4.12 oder eine neuere gepatchte Version
Häufig gestellte Fragen
What is CVE-2026-5243 — XSS in The Plus Addons for Elementor?
CVE-2026-5243 is a stored Cross-Site Scripting (XSS) vulnerability affecting The Plus Addons for Elementor WordPress plugin, allowing authenticated attackers to inject malicious scripts via the menuhoverclick parameter.
Am I affected by CVE-2026-5243 in The Plus Addons for Elementor?
You are affected if you are using The Plus Addons for Elementor plugin in versions 0.0.0 through 6.4.11. Check your plugin version and upgrade immediately if vulnerable.
How do I fix CVE-2026-5243 in The Plus Addons for Elementor?
Upgrade The Plus Addons for Elementor plugin to version 6.4.12 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict access to the Navigation Menu Lite widget.
Is CVE-2026-5243 being actively exploited?
As of the current assessment, CVE-2026-5243 is not known to be actively exploited, but continuous monitoring is recommended.
Where can I find the official The Plus Addons for Elementor advisory for CVE-2026-5243?
Refer to the official The Plus Addons for Elementor website and WordPress plugin repository for the latest advisory and update information regarding CVE-2026-5243.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...