Kostenlos scannen
MEDIUMCVE-2026-5486CVSS 6.5

CVE-2026-5486: SQL Injection in Unlimited Elements for Elementor

Plattform

wordpress

Komponente

unlimited-elements-for-elementor

Behoben in

2.0.8

Auf NVD ansehen
Speichern

CVE-2026-5486 describes a SQL Injection vulnerability affecting the Unlimited Elements for Elementor plugin for WordPress versions up to and including 2.0.7. This flaw allows attackers to inject malicious SQL code through the 'data[filter_search]' parameter. A patch is available in version 2.0.8.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-5486 could allow an attacker to extract sensitive data from the WordPress database, including user credentials, post content, and configuration settings. Depending on the database user's privileges, an attacker might also be able to modify or delete data, potentially leading to website defacement or data loss. The vulnerability is exacerbated by the use of deprecated escaping functions and direct string concatenation in SQL query construction, combined with the stripping of slashes from user input.

Ausnutzungskontext

CVE-2026-5486 was published on 2026-05-13. Its severity is rated as MEDIUM (CVSS 6.5). Currently, there are no publicly known active campaigns exploiting this vulnerability. However, given the popularity of the Elementor plugin, it remains a potential target for attackers.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteunlimited-elements-for-elementor
Herstellerwordfence
Höchstversion2.0.7
Behoben in2.0.8

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert

Mitigation und Workarounds

The primary mitigation for CVE-2026-5486 is to immediately update the Unlimited Elements for Elementor plugin to version 2.0.8 or later. As a temporary workaround, consider implementing a Web Application Firewall (WAF) rule to block requests containing suspicious SQL injection attempts targeting the 'filter_search' parameter. Ensure that WordPress and all other plugins are also kept up to date to minimize the overall attack surface.

So beheben

Aktualisieren Sie auf Version 2.0.8 oder eine neuere gepatchte Version

Häufig gestellte Fragen

What is CVE-2026-5486 — SQL Injection in Unlimited Elements for Elementor?

CVE-2026-5486 is a MEDIUM severity SQL Injection vulnerability in the Unlimited Elements for Elementor plugin (WordPress) versions ≤2.0.7, affecting the 'filter_search' parameter.

Am I affected by CVE-2026-5486 in Unlimited Elements for Elementor?

You are affected if you are using the Unlimited Elements for Elementor plugin in version 2.0.7 or earlier.

How do I fix CVE-2026-5486 in Unlimited Elements for Elementor?

Update the Unlimited Elements for Elementor plugin to version 2.0.8 or later. Consider a WAF as a temporary mitigation.

Is CVE-2026-5486 being actively exploited?

Currently, there are no publicly known active campaigns exploiting this vulnerability, but it remains a potential risk.

Where can I find the official Elementor advisory for CVE-2026-5486?

Refer to the WordPress plugin repository for updates and information: [https://wordpress.org/plugins/unlimited-elements-for-elementor/](https://wordpress.org/plugins/unlimited-elements-for-elementor/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...