CRITICAL✓ PATCH🇬🇧 English

CVE-2026-56028

Nieuwierzytelniona eskalacja uprawnień w wtyczce Easy Elements for Elementor

CVSS 9.8v3.1pub. 2026-06-26upd. 2026-06-29

Wtyczka Easy Elements for Elementor – Addons & Website Templates w wersji do 1.4.9 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, co czyni ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

Unauthenticated Privilege Escalation in Easy Elements for Elementor &#8211; Addons &amp; Website Templates <= 1.4.9 versions.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego zarządzania uprawnieniami (CWE-266) w kodzie wtyczki. Atakujący bez żadnego konta w systemie WordPress może wysłać odpowiednio spreparowane żądanie sieciowe i uzyskać wyższy poziom dostępu niż mu przysługuje. Brak mechanizmów weryfikacji tożsamości i kontroli dostępu pozwala na privilege escalation z poziomu sieci bez jakiejkolwiek autoryzacji.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad witryną, modyfikacji treści, kradzieży danych lub instalacji złośliwego oprogramowania.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Easy Elements for Elementor do wersji wyższej niż 1.4.9. Szczegóły dotyczące patcha dostępne są w bazie Patchstack oraz w repozytorium wtyczek WordPress.

Kogo dotyczy

Wtyczka Easy Elements for Elementor – Addons & Website Templates w wersjach do 1.4.9 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje