Plattform
wordpress
Komponente
elementor
Behoben in
3.35.8
CVE-2026-1206 is an authorization vulnerability in the Elementor Website Builder plugin for WordPress. It allows authenticated attackers with contributor-level access or higher to read private or draft Elementor template content. This is due to a logic error in the permission check within the isallowedtoreadtemplate() function. This affects versions up to and including 3.35.7. The vulnerability is fixed in version 3.35.8.
CVE-2026-1206 in Elementor betrifft WordPress-Websites, die den Elementor Website Builder-Plugin in Versionen vor 3.35.8 verwenden. Es ermöglicht authentifizierten Angreifern mit einem Contributor-Zugriff oder höher, auf private oder Entwurfs-Template-Inhalte zuzugreifen. Dies liegt an einem logischen Fehler in der Funktion isallowedtoreadtemplate(), die die Bearbeitungsberechtigungen nicht ordnungsgemäß überprüft, wenn unveröffentlichte Templates als lesbar behandelt werden. Die Offenlegung dieser Template-Inhalte könnte sensible Informationen wie Designs, benutzerdefinierte Inhalte und standortspezifische Konfigurationen preisgeben und so die Integrität und Vertraulichkeit der Website gefährden. Der CVSS-Wert für diese Schwachstelle beträgt 4,3, was ein moderates Risiko anzeigt.
Ein Angreifer mit Contributor- oder höherem Zugriff auf eine anfällige WordPress-Website mit Elementor kann diese Schwachstelle ausnutzen. Der Angreifer kann auf private oder Entwurfs-Templates über sorgfältig gestaltete HTTP-Anfragen zugreifen, ohne zusätzliche Authentifizierung über seine Contributor-Anmeldeinformationen hinaus zu benötigen. Dies kann die Manipulation von Parametern in URLs oder das Senden von POST-Anfragen mit bestimmten Daten beinhalten. Eine erfolgreiche Ausnutzung würde es dem Angreifer ermöglichen, den Template-Inhalt anzuzeigen, was sensible Informationen preisgeben oder eine unbefugte Änderung der Website ermöglichen könnte.
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-1206 besteht darin, das Elementor Website Builder-Plugin auf Version 3.35.8 oder höher zu aktualisieren. Dieses Update behebt den logischen Fehler in der Funktion isallowedtoreadtemplate() und stellt sicher, dass nur Benutzer mit den erforderlichen Bearbeitungsberechtigungen auf Template-Inhalte zugreifen können. Es wird empfohlen, dieses Update so schnell wie möglich durchzuführen, um Ihre Website vor potenziellen Angriffen zu schützen. Überprüfen Sie außerdem die Benutzerberechtigungen auf Ihrer WordPress-Website, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Bearbeitungsfunktionen haben. Regelmäßige Website-Backups sind ebenfalls eine gute Praxis, um sich von Sicherheitsvorfällen zu erholen.
Aktualisieren Sie auf Version 3.35.8 oder eine neuere gepatchte Version
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Elementor ist ein beliebtes WordPress-Plugin, mit dem Benutzer Websites visuell erstellen und anpassen können, ohne Programmierkenntnisse zu benötigen.
Wenn Sie eine Version von Elementor vor 3.35.8 verwenden, ist Ihre Website anfällig. Sie können die Elementor-Version in Ihrem WordPress-Admin-Dashboard unter dem Abschnitt 'Plugins' überprüfen.
Wenn Sie Elementor nicht sofort aktualisieren können, sollten Sie den Zugriff von Benutzern mit Contributor-Rechten auf sensible Bearbeitungsfunktionen einschränken.
Es gibt WordPress-Schwachstellenscanner, die diese Schwachstelle erkennen können. Wenden Sie sich an Ihren Web-Sicherheitsanbieter, um weitere Informationen zu erhalten.
Template-Inhalte könnten offengelegt werden, einschließlich Designs, Text, Bilder und standortspezifische Konfigurationen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.