Plataforma
wordpress
Componente
unlimited-elements-for-elementor
Corrigido em
2.0.7
2.0.7
A vulnerabilidade CVE-2026-4659 é uma falha de Path Traversal descoberta no plugin Unlimited Elements for Elementor para WordPress. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, comprometendo a confidencialidade dos dados. Versões afetadas incluem aquelas anteriores ou iguais a 2.0.6. A correção foi lançada na versão 2.0.7.
Um atacante pode explorar essa vulnerabilidade enviando uma requisição maliciosa para o parâmetro URL do Repeater JSON/CSV, contendo sequências de path traversal (../). A falta de sanitização adequada no código do plugin permite que o atacante ignore as verificações de segurança e acesse arquivos sensíveis no servidor web. Isso pode incluir arquivos de configuração, código-fonte, ou dados de usuários. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e, em casos extremos, a execução remota de código.
A vulnerabilidade foi divulgada em 2026-04-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
WordPress websites utilizing the Unlimited Elements for Elementor plugin, particularly those running versions prior to 2.0.7, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with debugging enabled are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/unlimited-elements-for-elementor/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/unlimited-elements-for-elementor/repeater.php?url=../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-4659 é atualizar o plugin Unlimited Elements for Elementor para a versão 2.0.7 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, desative temporariamente o plugin ou restrinja o acesso ao parâmetro URL do Repeater JSON/CSV. Implementar regras de firewall (WAF) para bloquear requisições com sequências de path traversal também pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Atualize para a versão 2.0.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4659 is a vulnerability allowing attackers to read arbitrary files on a WordPress server using the Unlimited Elements for Elementor plugin. It's rated HIGH severity due to the potential for sensitive data exposure.
You are affected if you are using Unlimited Elements for Elementor version 2.0.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Unlimited Elements for Elementor plugin to version 2.0.7 or later. As a temporary workaround, disable the Repeater feature if upgrading is not immediately possible.
There is no confirmed active exploitation of CVE-2026-4659 as of the last update, but the vulnerability is publicly known and could be targeted.
Refer to the official Unlimited Elements for Elementor plugin website or the WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.