Platform
wordpress
Component
addons-for-elementor
Opgelost in
9.0.1
9.0.1
CVE-2026-1572 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Livemesh Addons for Elementor plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om kwaadaardige webscripts te injecteren in de plugin-instellingen, wat kan leiden tot het uitvoeren van scripts in de browser van een beheerder. De kwetsbaarheid treft alle versies van de plugin tot en met 9.0. Een update naar de nieuwste versie is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de WordPress-beheerder. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de website te defacen. Aangezien de kwetsbaarheid vereist dat de aanvaller geauthenticeerd is met een Subscriber-niveau account of hoger, is de impact beperkt tot omgevingen waar dergelijke accounts toegang hebben tot de plugin-instellingen. De ernst van de impact hangt af van de privileges van het account dat wordt gecompromitteerd en de gevoeligheid van de informatie die op de website wordt verwerkt.
Op dit moment is er geen publieke exploitatie van CVE-2026-1572 bekend. De kwetsbaarheid is openbaar gemaakt op 16 april 2026. Er is geen vermelding op CISA KEV. Het is aan te raden om de plugin onmiddellijk te updaten om het risico te minimaliseren.
Exploit Status
EPSS
0.02% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-1572 is het updaten van de Livemesh Addons for Elementor plugin naar de nieuwste versie, waar het probleem is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de plugin-instellingen voor gebruikers met een Subscriber-niveau account. Controleer ook de WordPress-plugins op onnodige privileges. Na de upgrade, bevestig de correctie door de plugin-instellingen te controleren op mogelijke XSS-injecties via de AJAX-handler laeadminajax().
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a Stored Cross-Site Scripting (XSS) vulnerability in the Livemesh Addons for Elementor WordPress plugin, allowing attackers to inject malicious scripts.
If you are using Livemesh Addons for Elementor version 9.0 or earlier, you are potentially affected by this vulnerability.
Upgrade to the latest version of the Livemesh Addons for Elementor plugin as soon as a patch is released. Implement WAF rules and restrict access to plugin settings as temporary measures.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but monitoring is advised.
Refer to the NVD (National Vulnerability Database) and security advisories from the plugin vendor and WordPress security resources for updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.