Plataforma
wordpress
Componente
master-addons
Corrigido em
2.1.2
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Master Addons For Elementor para WordPress. Essa falha permite que atacantes autenticados, com permissões de colaborador ou superiores, injetem scripts web arbitrários em páginas acessadas por outros usuários. A vulnerabilidade afeta versões do plugin até a 2.1.1, sendo recomendada a atualização para a versão 2.1.2 para mitigar o risco.
A vulnerabilidade CVE-2026-2486 afeta o plugin Master Addons For Elementor, permitindo um ataque de Cross-Site Scripting (XSS) armazenado. Um atacante autenticado com acesso de colaborador ou superior pode injetar código JavaScript malicioso através do parâmetro 'maelbhtablebtn_text'. Este código será executado no navegador de qualquer usuário que acesse a página comprometida, podendo resultar no roubo de cookies, redirecionamento para sites maliciosos ou modificação do conteúdo da página. A gravidade do problema é avaliada em 6.4 de acordo com o CVSS, indicando um risco moderado-alto. A vulnerabilidade reside na falta de sanitização e escape adequados da entrada do usuário, permitindo a injeção de scripts.
Um atacante com acesso de colaborador ou superior em um site que utiliza o plugin Master Addons For Elementor pode explorar esta vulnerabilidade. O atacante pode injetar código JavaScript malicioso em uma página através do parâmetro 'maelbhtablebtn_text'. Quando um usuário acessa essa página, o código JavaScript é executado no navegador dele. A facilidade de exploração, combinada com a possibilidade de afetar qualquer usuário que visite a página, torna esta vulnerabilidade preocupante. Recomenda-se monitorar os logs do site em busca de atividade suspeita relacionada à injeção de scripts.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o plugin Master Addons For Elementor para a versão 2.1.2 ou superior. Esta atualização inclui as correções necessárias para sanitizar e escapar corretamente a entrada do usuário, prevenindo a injeção de código malicioso. Recomenda-se realizar esta atualização o mais rápido possível para proteger seu site de possíveis ataques XSS. Além disso, é importante revisar as páginas existentes para detectar possíveis injeções realizadas antes da atualização e removê-las. Implementar uma política de segurança de senhas robusta e limitar os privilégios do usuário também ajuda a mitigar o risco.
Atualize para a versão 2.1.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites legítimos. Esses scripts são executados nos navegadores dos usuários que visitam o site, o que pode permitir que os atacantes roubem informações confidenciais ou realizem ações em nome do usuário.
Se você estiver usando uma versão anterior à 2.1.2 do plugin Master Addons For Elementor, provavelmente estará afetado. Revise as páginas do site em busca de código JavaScript suspeito injetado no parâmetro 'maelbhtablebtn_text'.
Atualize imediatamente o plugin para a versão 2.1.2 ou superior. Revise as páginas do site em busca de código malicioso e remova-o. Considere alterar as senhas de todos os usuários com privilégios de administrador ou editor.
Sim, existem várias ferramentas de verificação de vulnerabilidades XSS, tanto gratuitas quanto pagas. Essas ferramentas podem ajudar a identificar possíveis vulnerabilidades em seu site.
Mantenha todos os seus plugins e temas atualizados. Implemente uma política de segurança de senhas robusta. Limite os privilégios do usuário. Use um firewall de aplicativos web (WAF) para proteger seu site de ataques.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.