Plataforma
wordpress
Componente
unlimited-elements-for-elementor
Corregido en
2.0.7
2.0.7
La vulnerabilidad CVE-2026-4659 es una falla de Path Traversal que afecta al plugin Unlimited Elements for Elementor para WordPress. Esta falla permite a un atacante leer archivos arbitrarios en el servidor, comprometiendo la confidencialidad de los datos. La vulnerabilidad se encuentra presente en versiones del plugin hasta la 2.0.6. Se recomienda actualizar a la versión 2.0.7 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para acceder a archivos sensibles en el servidor web, como archivos de configuración, contraseñas, o código fuente. La falta de sanitización adecuada en las funciones urlToRelative() y urlToPath() permite la manipulación de la ruta del archivo a través del parámetro Repeater JSON/CSV URL. La capacidad de habilitar la salida de depuración en la configuración del widget agrava el problema, facilitando la identificación de archivos válidos para la explotación. La exposición de información confidencial podría resultar en la comprometer la integridad del sitio web y la información de los usuarios.
Esta vulnerabilidad fue publicada el 2026-04-16. No se ha reportado explotación activa a la fecha. No se encuentra en el KEV de CISA. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
WordPress websites utilizing the Unlimited Elements for Elementor plugin, particularly those running versions prior to 2.0.7, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with debugging enabled are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/unlimited-elements-for-elementor/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/unlimited-elements-for-elementor/repeater.php?url=../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Unlimited Elements for Elementor a la versión 2.0.7 o superior, que corrige la vulnerabilidad. Como medida temporal, desactive la salida de depuración en la configuración del widget. Implemente reglas en su servidor web (WAF o proxy) para bloquear solicitudes que contengan secuencias de path traversal (../) en el parámetro Repeater JSON/CSV URL. Revise los registros de acceso del servidor en busca de patrones sospechosos, como solicitudes a archivos fuera del directorio esperado del plugin.
Actualizar a la versión 2.0.7 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4659 is a vulnerability allowing attackers to read arbitrary files on a WordPress server using the Unlimited Elements for Elementor plugin. It's rated HIGH severity due to the potential for sensitive data exposure.
You are affected if you are using Unlimited Elements for Elementor version 2.0.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Unlimited Elements for Elementor plugin to version 2.0.7 or later. As a temporary workaround, disable the Repeater feature if upgrading is not immediately possible.
There is no confirmed active exploitation of CVE-2026-4659 as of the last update, but the vulnerability is publicly known and could be targeted.
Refer to the official Unlimited Elements for Elementor plugin website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.