Platform
wordpress
Component
elementor
Opgelost in
3.35.8
CVE-2026-1206 is een Informatielek in de Elementor Website Builder plugin voor WordPress. Door een fout in de autorisatie kunnen auteurs private of concept Elementor templates lezen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft alle versies tot en met 3.35.7. De kwetsbaarheid is verholpen in versie 3.35.8.
CVE-2026-1206 in Elementor heeft betrekking op WordPress-websites die de Elementor Website Builder-plugin gebruiken in versies vóór 3.35.8. Het stelt geauthenticeerde aanvallers met een contributor-toegangsniveau of hoger in staat om toegang te krijgen tot privé- of concept-template-inhoud. Dit komt door een logische fout in de functie isallowedtoreadtemplate(), die de bewerkingsrechten niet correct controleert wanneer niet-gepubliceerde templates als leesbaar worden beschouwd. De openbaarmaking van deze template-inhoud kan gevoelige informatie onthullen, zoals ontwerpen, aangepaste inhoud en standaardspecifieke configuraties, waardoor de integriteit en vertrouwelijkheid van de website mogelijk in gevaar komt. De CVSS-score voor deze kwetsbaarheid is 4,3, wat een matig risico aangeeft.
Een aanvaller met contributor- of hogere toegang op een kwetsbare WordPress-site met Elementor kan deze kwetsbaarheid misbruiken. De aanvaller kan toegang krijgen tot privé- of concept-templates via zorgvuldig samengestelde HTTP-verzoeken, zonder aanvullende authenticatie bovenop hun contributor-gegevens nodig te hebben. Dit kan het manipuleren van parameters in URL's of het verzenden van POST-verzoeken met specifieke gegevens inhouden. Een succesvolle exploitatie zou de aanvaller in staat stellen de template-inhoud te bekijken, wat gevoelige informatie kan onthullen of ongeautoriseerde wijzigingen aan de website mogelijk kan maken.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-1206 te mitigeren, is het Elementor Website Builder-plugin bij te werken naar versie 3.35.8 of hoger. Deze update corrigeert de logische fout in de functie isallowedtoreadtemplate() en zorgt ervoor dat alleen gebruikers met de vereiste bewerkingsrechten toegang hebben tot template-inhoud. Het wordt aanbevolen om deze update zo snel mogelijk uit te voeren om uw website te beschermen tegen mogelijke aanvallen. Controleer bovendien de gebruikersrechten op uw WordPress-site om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige bewerkingsfuncties. Regelmatige website-backups zijn ook een goede praktijk om te herstellen van beveiligingsincidenten.
Update naar versie 3.35.8, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Elementor is een populaire WordPress-plugin waarmee gebruikers websites visueel kunnen maken en aanpassen, zonder programmeerkennis.
Als u een versie van Elementor gebruikt vóór 3.35.8, is uw site kwetsbaar. U kunt de Elementor-versie controleren in uw WordPress-beheerpaneel, onder de sectie 'Plugins'.
Als u Elementor niet onmiddellijk kunt bijwerken, overweeg dan om de toegang van gebruikers met contributor-rechten te beperken tot gevoelige bewerkingsfuncties.
Er zijn WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. Raadpleeg uw webbeveiligingsprovider voor meer informatie.
Template-inhoud kan worden blootgelegd, inclusief ontwerpen, tekst, afbeeldingen en standaardspecifieke configuraties.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.