Website Builder
Уязвимости
47
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.92943
Распределение по критичности
Критический
2
Высокий
4
Средний
40
Низкий
1
Затронутые диапазоны версий
1.5.0–3.1.43.3.0–3.18.23.6.0–3.6.2< 2.8.4< 2.8.5< 3.0.14< 3.1.4< 3.12.2< 3.13.3< 3.16.5< 3.19.0< 3.19.1< 3.20.2< 3.20.3< 3.21.2< 3.21.6< 3.22.2< 3.24.0< 3.24.6< 3.25.11< 3.27.5< 3.29.1< 3.30.3< 3.33.1
Также сопоставлено как (исходные строки): website_builder
Топ уязвимостей
CVE-2023-47504Неправильная аутентификация в Elementor Elementor Website Builder позволяет получать доступ к функциональности, не должным образом ограниченной ACL. Эта проблема затрагивает Elementor Website Builder: от n/a до 3.16.4.
CVE-2020-7109Плагин Elementor Page Builder до версии 2.8.4 для WordPress не очищает данные во время создания нового шаблона.
CVE-2023-48777Неограниченная загрузка файла с опасным типом уязвимости в Elementor.Com Elementor Website Builder. Эта проблема затрагивает Elementor Website Builder: от 3.3.0 до 3.18.1.
CVE-2022-1329Плагин Elementor Website Builder для WordPress уязвим к несанкционированному выполнению нескольких AJAX-действий из-за отсутствия проверки возможностей в файле ~/core/app/modules/onboarding/module.php, что позволяет злоумышленникам изменять данные сайта, а также загружать вредоносные файлы, которые могут быть использованы для получения удаленного выполнения кода, в версиях с 3.6.0 по 3.6.2.
CVE-2024-24934Неправильное ограничение имени пути к ограниченному каталогу (обход пути) в Elementor Elementor Website Builder позволяет манипулировать веб-вводом для вызовов файловой системы. Эта проблема затрагивает Elementor Website Builder: от n/a до 3.19.0.
CVE-2023-0329Плагин WordPress Elementor Website Builder до версии 3.12.2 неправильно очищает и экранирует параметр Replace URL в модуле Tools перед его использованием в SQL-операции, что приводит к уязвимости SQL-инъекции, доступной для пользователей с ролью Администратор.
CVE-2026-32352Неправильная нейтрализация ввода во время уязвимости генерации веб-страниц («Cross-site Scripting») в элементал Elementor Elementor Website Builder или позволяет на основе DOM XSS.Эта проблема затрагивает Elementor Website Builder: от n/a до <= 3.35.5.
CVE-2024-8494Плагин Elementor Website Builder Pro для WordPress подвержен раскрытию конфиденциальной информации во всех версиях до 3.25.10 включительно через шорткод 'elementor-template'. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше извлекать конфиденциальные данные, включая содержимое частных, ожидающих рассмотрения и черновых шаблонов. Уязвимость была частично исправлена в версии 3.24.4.
CVE-2024-50555Неправильная нейтрализация входных данных во время уязвимости генерации веб-страниц («Cross-site Scripting») в элементах Elementor Elementor Website Builder или позволяет хранить XSS.Эта проблема затрагивает Elementor Website Builder: от n/a до <= 3.29.0.
CVE-2020-20634Плагин Elementor 2.9.5 и ниже для WordPress позволяет прошедшим аутентификацию пользователям активировать функцию безопасного режима. Это может быть использовано для отключения всех плагинов безопасности в блоге.
CVE-2026-6127Плагин Elementor Website Builder для WordPress уязвим для хранения кросс-сайта через мета-поле _elementor_data в версиях до 4,0.4. Это связано с недостаточной дезинфекцией ввода при обработке закодированных запросов REST API. Плагин регистрирует мета-поле _elementor_data с show_in_rest, но опускает sanitize_callback, полагаясь вместо этого на фильтр rest_pre_insert_post (sanitize_post_data function), который только обеззараживает закодированные JSON тела запроса. Когда участник отправляет запрос PATCH с кодировкой формы на WordPress REST API, вызов json_decode() на исходном теле возвращается null, в результате чего вся санация пропускается. Несанитаризованные данные затем сохраняют через update_post_meta(), а затем вывода, не убегая через несколько поглотителей виджетов, включая функцию виджета HTML print_unescaped_setting(). Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2025-4566Кладик Elementor Website Builder для WordPress более чем просто конструктор страниц уязвим для хранения скрипинга Cross-Site через атрибут элемента DOM-текст данных в виджете Text Path во всех версиях до 3:30.2 из-за недостаточной санации ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице. Эта атака затрагивает только браузеры Chrome/Edge
CVE-2025-14732The Elementor Website Builder - Больше, чем просто плагин конструктор страниц для WordPress уязвим для хранимых сценариев по кросс-сайту через несколько параметров виджетов во всех версиях до 3,35.5 и включительно из-за недостаточной дезинфекции ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-11220Плагин Elementor для WordPress уязвим для хранения Cross-Site Scripting через виджет Text Path плагина во всех версиях до 3,33.3, из-за недостаточной нейтрализации пользовательского ввода, используемого для построения разметки SVG внутри виджета. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2022-4953Плагин Elementor Website Builder WordPress до версии 3.5.5 не фильтрует URL-адреса, контролируемые пользователем, от загрузки в DOM. Это можно использовать для внедрения вредоносных iframe, указывающих на вредоносные URL-адреса.
CVE-2022-29455Уязвимость отраженного межсайтового скриптинга (XSS) на основе DOM в плагине Elementor Website Builder <= 3.5.5.
CVE-2021-24891Плагин Elementor Website Builder WordPress версий до 3.4.8 не очищает и не экранирует пользовательский ввод, добавленный в DOM через вредоносный хеш, что приводит к проблеме DOM Cross-Site Scripting.
CVE-2020-36171Плагин Elementor Website Builder до 3.0.14 для WordPress неправильно ограничивает загрузку SVG.
CVE-2026-49782Недостаточная уязвимость авторизации в Elementor Elementor Website Builder позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа.
Эта проблема затрагивает Elementor Website Builder: от n/a до 4.1.0.
CVE-2025-3075Кладик Elementor Website Builder - Больше, чем просто плагин Builder для WordPress уязвим для хранения кросс-сайта через шорткод плагина «элемент-элемент» во всех версиях до 3,29.0, из-за недостаточной дезинфекции ввода и выхода вывода по предоставленным пользователям атрибутам. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице. Это влияет только на сайты с включенным «Element Caching».
CVE-2024-8236Плагин Elementor Website Builder – More than Just a Page Builder для WordPress уязвим для межсайтового скриптинга (Stored Cross-Site Scripting) через параметр «url» виджета Icon во всех версиях до 3.25.7 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Автор» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-54444Уязвимость неправильной нейтрализации входных данных при генерации веб-страниц ('Межсайтовый скриптинг') в Elementor Website Builder позволяет выполнять сохраненные XSS. Эта проблема затрагивает Elementor Website Builder: от n/a до 3.25.10.
CVE-2024-5416Плагин Elementor Website Builder – More than Just a Page Builder для WordPress уязвим для Stored Cross-Site Scripting через параметр url нескольких виджетов во всех версиях до 3.23.4 включительно из-за недостаточной очистки ввода и экранирования вывода пользовательских атрибутов. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше внедрять произвольные веб-скрипты на страницы редактора Elementor. Эта уязвимость была частично исправлена в версии 3.23.2.
CVE-2024-4619Плагин Elementor Website Builder – More than Just a Page Builder для WordPress подвержен DOM-Based хранящемуся межсайтовому скриптингу (XSS) через параметр ‘hover_animation’ в версиях до 3.21.4 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами не ниже contributor внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице.
CVE-2024-4107Плагин Elementor Website Builder – More than Just a Page Builder Pro для WordPress уязвим для хранимого межсайтового скриптинга через несколько параметров в версиях до 3.21.0 включительно из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.