De Elementor Website Builder plugin voor WordPress is kwetsbaar voor Incorrecte Autorisatie tot Blootstelling van Gevoelige Informatie in alle versies tot en met 3.35.7. Dit komt door een logische fout in de is_allowed_to_read_template() functie permissie controle die niet-gepubliceerde templates behandelt als leesbaar zonder bewerkingsmogelijkheden te verifiëren. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met contributor-level toegang en hoger, om private of concept Elementor template content te lezen via th
Platform
wordpress
Component
elementor
Opgelost in
3.35.8
CVE-2026-1206 is een Informatielek in de Elementor Website Builder plugin voor WordPress. Door een fout in de autorisatie kunnen auteurs private of concept Elementor templates lezen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft alle versies tot en met 3.35.7. De kwetsbaarheid is verholpen in versie 3.35.8.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
CVE-2026-1206 in Elementor heeft betrekking op WordPress-websites die de Elementor Website Builder-plugin gebruiken in versies vóór 3.35.8. Het stelt geauthenticeerde aanvallers met een contributor-toegangsniveau of hoger in staat om toegang te krijgen tot privé- of concept-template-inhoud. Dit komt door een logische fout in de functie isallowedtoreadtemplate(), die de bewerkingsrechten niet correct controleert wanneer niet-gepubliceerde templates als leesbaar worden beschouwd. De openbaarmaking van deze template-inhoud kan gevoelige informatie onthullen, zoals ontwerpen, aangepaste inhoud en standaardspecifieke configuraties, waardoor de integriteit en vertrouwelijkheid van de website mogelijk in gevaar komt. De CVSS-score voor deze kwetsbaarheid is 4,3, wat een matig risico aangeeft.
Uitbuitingscontext
Een aanvaller met contributor- of hogere toegang op een kwetsbare WordPress-site met Elementor kan deze kwetsbaarheid misbruiken. De aanvaller kan toegang krijgen tot privé- of concept-templates via zorgvuldig samengestelde HTTP-verzoeken, zonder aanvullende authenticatie bovenop hun contributor-gegevens nodig te hebben. Dit kan het manipuleren van parameters in URL's of het verzenden van POST-verzoeken met specifieke gegevens inhouden. Een succesvolle exploitatie zou de aanvaller in staat stellen de template-inhoud te bekijken, wat gevoelige informatie kan onthullen of ongeautoriseerde wijzigingen aan de website mogelijk kan maken.
Dreigingsinformatie
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 10.0MPopulair
- Plugin-beoordeling
- 4.5
- Vereist WordPress
- 6.6+
- Compatibel tot
- 7.0
- Vereist PHP
- 7.4+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing om CVE-2026-1206 te mitigeren, is het Elementor Website Builder-plugin bij te werken naar versie 3.35.8 of hoger. Deze update corrigeert de logische fout in de functie isallowedtoreadtemplate() en zorgt ervoor dat alleen gebruikers met de vereiste bewerkingsrechten toegang hebben tot template-inhoud. Het wordt aanbevolen om deze update zo snel mogelijk uit te voeren om uw website te beschermen tegen mogelijke aanvallen. Controleer bovendien de gebruikersrechten op uw WordPress-site om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige bewerkingsfuncties. Regelmatige website-backups zijn ook een goede praktijk om te herstellen van beveiligingsincidenten.
Hoe te verhelpen
Update naar versie 3.35.8, of een nieuwere gepatchte versie
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-1206 in Elementor Website Builder?
Elementor is een populaire WordPress-plugin waarmee gebruikers websites visueel kunnen maken en aanpassen, zonder programmeerkennis.
Ben ik getroffen door CVE-2026-1206 in Elementor Website Builder?
Als u een versie van Elementor gebruikt vóór 3.35.8, is uw site kwetsbaar. U kunt de Elementor-versie controleren in uw WordPress-beheerpaneel, onder de sectie 'Plugins'.
Hoe los ik CVE-2026-1206 in Elementor Website Builder op?
Als u Elementor niet onmiddellijk kunt bijwerken, overweeg dan om de toegang van gebruikers met contributor-rechten te beperken tot gevoelige bewerkingsfuncties.
Wordt CVE-2026-1206 actief misbruikt?
Er zijn WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. Raadpleeg uw webbeveiligingsprovider voor meer informatie.
Waar vind ik het officiële Elementor Website Builder-beveiligingsadvies voor CVE-2026-1206?
Template-inhoud kan worden blootgelegd, inclusief ontwerpen, tekst, afbeeldingen en standaardspecifieke configuraties.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.