Platform
wordpress
Component
xpro-elementor-addons
Opgelost in
1.4.25
CVE-2026-2949 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid die is ontdekt in de Xpro Addons — 140+ Widgets for Elementor plugin voor WordPress. Een succesvolle exploitatie kan leiden tot de uitvoering van kwaadaardige scripts in de browser van een gebruiker, waardoor gevoelige informatie kan worden gestolen of de website kan worden gecompromitteerd. Deze kwetsbaarheid treft versies van de plugin tot en met 1.4.24. Een patch is beschikbaar in versie 1.4.25.
CVE-2026-2949 treft de Xpro Addons — 140+ Widgets voor Elementor plugin voor WordPress, waarbij een Stored Cross-Site Scripting (XSS)-kwetsbaarheid wordt blootgelegd via de Icon Box widget in versies tot en met 1.4.24. Een geauthenticeerde aanvaller, met minimaal contributor-rechten of hoger, kan willekeurige webscripts in pagina's injecteren. Deze scripts worden uitgevoerd zodra een gebruiker de geïnjecteerde pagina bezoekt. Dit stelt aanvallers in staat om potentieel gevoelige informatie te stelen, gebruikers om te leiden naar kwaadaardige websites of acties namens de gebruiker uit te voeren. De CVSS-score van 6.4 duidt op een matig tot hoog risico, vooral voor sites met veel gebruikers of die gevoelige gegevens verwerken.
Een aanvaller met geauthenticeerde toegang (contributor-niveau of hoger) tot een WordPress-site die Xpro Addons in versies 1.4.24 of eerder gebruikt, kan deze kwetsbaarheid misbruiken. De aanval omvat het injecteren van kwaadaardige JavaScript-code via de Icon Box widget. De code wordt opgeslagen in de database van de website en wordt elke keer uitgevoerd dat een gebruiker de pagina bezoekt waar het script is geïnjecteerd. Het ontbreken van een goede invoervalidatie en -codering maakt deze injectie mogelijk. Een succesvolle uitbuiting hangt af van het vermogen van de aanvaller om geauthenticeerde toegang tot het WordPress-beheerpaneel te verkrijgen.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is om de Xpro Addons plugin bij te werken naar versie 1.4.25 of hoger. Deze update bevat de nodige fixes om het injecteren van kwaadaardige scripts te voorkomen. Controleer bovendien WordPress-pagina's op verdachte inhoud, met name die bewerkt door gebruikers met verhoogde rechten. Het afdwingen van een robuust wachtwoordbeleid en het inschakelen van tweefactorauthenticatie (2FA) voor alle beheerders kan het risico op ongeautoriseerde toegang aanzienlijk verminderen. Regelmatige beveiligingsaudits worden ook aanbevolen om potentiële kwetsbaarheden proactief te identificeren en aan te pakken. Overweeg het gebruik van een Web Application Firewall (WAF) om een extra beschermingslaag toe te voegen.
Update naar versie 1.4.25, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in websites kunnen injecteren die door andere gebruikers worden bekeken. Deze scripts kunnen informatie stelen, gebruikers omleiden of acties in hun naam uitvoeren.
Geauthenticeerd betekent dat de aanvaller moet zijn ingelogd op de WordPress-website met een account dat minimaal contributor-rechten heeft.
Als u Xpro Addons versie 1.4.24 of eerder gebruikt, is uw website kwetsbaar. Werk de plugin bij naar de nieuwste versie om het probleem op te lossen.
Als u vermoedt dat uw website is gecompromitteerd, wijzig dan onmiddellijk alle beheerderswachtwoorden, scan uw website op malware en overweeg om te herstellen van een schone back-up.
Ja, u kunt een robuust wachtwoordbeleid implementeren, tweefactorauthenticatie (2FA) inschakelen, al uw plugins en thema's up-to-date houden en een Web Application Firewall (WAF) overwegen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.