De Elementor Website Builder plugin voor WordPress is kwetsbaar voor Incorrecte Autorisatie tot Blootstelling van Gevoelige Informatie in alle versies tot en met 3.35.7. Dit komt door een logische fout in de is_allowed_to_read_template() functie permissie controle die niet-gepubliceerde templates behandelt als leesbaar zonder bewerkingsmogelijkheden te verifiëren. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met contributor-level toegang en hoger, om private of concept Elementor template content te lezen via th

De Elementor Website Builder plugin voor WordPress is kwetsbaar voor Incorrecte Autorisatie tot Blootstelling van Gevoelige Informatie in alle versies tot en met 3.35.7. Dit komt door een logische fout in de is_allowed_to_read_template() functie permissie controle die niet-gepubliceerde templates behandelt als leesbaar zonder bewerkingsmogelijkheden te verifiëren. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met contributor-level toegang en hoger, om private of concept Elementor template content te lezen via de 'template_id' die wordt aangeleverd aan de 'get_template_data' actie van het 'elementor_ajax' endpoint.