Plattform
wordpress
Komponente
xpro-elementor-addons
Behoben in
1.4.25
CVE-2026-2949 is a stored Cross-Site Scripting (XSS) vulnerability in the Xpro Addons — 140+ Widgets for Elementor plugin for WordPress. This vulnerability allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts into pages, which execute when a user accesses the injected page. The affected versions are up to and including 1.4.24. The vulnerability is fixed in version 1.4.25.
CVE-2026-2949 betrifft den Xpro Addons — 140+ Widgets für Elementor Plugin für WordPress und offenbart eine Stored Cross-Site Scripting (XSS)-Schwachstelle über das Icon Box Widget in Versionen bis einschließlich 1.4.24. Ein authentifizierter Angreifer mit mindestens Contributor-Rechten kann beliebigen Web-Code in Seiten injizieren. Dieser Code wird ausgeführt, sobald ein Benutzer die injizierte Seite aufruft. Dies ermöglicht es Angreifern, potenziell sensible Informationen zu stehlen, Benutzer auf bösartige Websites umzuleiten oder Aktionen im Namen des Benutzers durchzuführen. Der CVSS-Wert von 6.4 deutet auf ein moderates bis hohes Risiko hin, insbesondere für Websites mit vielen Benutzern oder die sensible Daten verarbeiten.
Ein Angreifer mit authentifiziertem Zugriff (Contributor-Level oder höher) auf eine WordPress-Website, die Xpro Addons in den Versionen 1.4.24 oder früher verwendet, kann diese Schwachstelle ausnutzen. Der Angriff beinhaltet das Injizieren von bösartigem JavaScript-Code über das Icon Box Widget. Der Code wird in der Datenbank der Website gespeichert und jedes Mal ausgeführt, wenn ein Benutzer die Seite aufruft, auf der das Skript injiziert wurde. Das Fehlen einer ordnungsgemäßen Eingabevalidierung und -kodierung ermöglicht diese Injektion. Eine erfolgreiche Ausnutzung hängt von der Fähigkeit des Angreifers ab, authentifizierten Zugriff auf das WordPress-Admin-Panel zu erhalten.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung besteht darin, den Xpro Addons Plugin auf Version 1.4.25 oder höher zu aktualisieren. Dieses Update enthält die notwendigen Korrekturen, um die Injektion von bösartigem Code zu verhindern. Überprüfen Sie außerdem WordPress-Seiten auf verdächtige Inhalte, insbesondere solche, die von Benutzern mit erhöhten Rechten bearbeitet wurden. Die Durchsetzung einer robusten Passwortrichtlinie und die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für alle Administratoren können das Risiko einer unbefugten Zugriffsdämpfen. Regelmäßige Sicherheitsaudits werden ebenfalls empfohlen, um potenzielle Schwachstellen proaktiv zu identifizieren und zu beheben. Erwägen Sie die Verwendung einer Web Application Firewall (WAF), um eine zusätzliche Schutzschicht hinzuzufügen.
Aktualisieren Sie auf Version 1.4.25 oder eine neuere gepatchte Version
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Websites einzuschleusen, die von anderen Benutzern aufgerufen werden. Diese Skripte können Informationen stehlen, Benutzer umleiten oder Aktionen in ihrem Namen durchführen.
Authentifiziert bedeutet, dass der Angreifer in die WordPress-Website mit einem Konto eingeloggt sein muss, das mindestens Contributor-Rechte hat.
Wenn Sie Xpro Addons in Version 1.4.24 oder früher verwenden, ist Ihre Website anfällig. Aktualisieren Sie das Plugin auf die neueste Version, um das Problem zu beheben.
Wenn Sie vermuten, dass Ihre Website kompromittiert wurde, ändern Sie sofort alle Administratorpasswörter, scannen Sie Ihre Website auf Malware und stellen Sie eine saubere Sicherungskopie wieder her.
Ja, Sie können eine robuste Passwortrichtlinie implementieren, die Zwei-Faktor-Authentifizierung (2FA) aktivieren, alle Ihre Plugins und Themes auf dem neuesten Stand halten und eine Web Application Firewall (WAF) verwenden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.