Urgent: XSS in Master Addons for Elementor (<= 2.1.1) — Advisory

प्लगइन का नाम	मास्टर ऐडऑन्स फॉर एलिमेंटर
कमजोरियों का प्रकार	क्रॉस-साइट स्क्रिप्टिंग (XSS)
CVE संख्या	CVE-2026-2486
तात्कालिकता	कम
CVE प्रकाशन तिथि	2026-02-19
स्रोत URL	CVE-2026-2486

तत्काल: Elementor के लिए मास्टर ऐडऑन में XSS (≤ 2.1.1) — वर्डप्रेस साइट के मालिकों को अभी क्या करना चाहिए

लेखक नोट — हांगकांग के सुरक्षा विशेषज्ञ: यह सलाह सीधे और व्यावहारिक है। यह भेद्यता, जोखिम, त्वरित पहचान और सुधारात्मक कदमों का वर्णन करता है जिन्हें आप तुरंत लागू कर सकते हैं। दिए गए क्रम में प्राथमिकता वाले कार्यों का पालन करें। इसे घटना प्रतिक्रिया के लिए एक संचालन चेकलिस्ट के रूप में मानें।.

सारांश

कमजोरियों: प्रमाणित संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) के माध्यम से ma_el_bh_table_btn_text क्षेत्र के माध्यम से।.
प्रभावित संस्करण: Elementor के लिए मास्टर ऐडऑन ≤ 2.1.1
पैच किया गया संस्करण: 2.1.2
CVE: CVE-2026-2486
आवश्यक विशेषाधिकार: योगदानकर्ता
प्रभाव: संग्रहीत XSS कुकी चोरी, खाता अधिग्रहण (यदि विशेषाधिकार प्राप्त उपयोगकर्ता तैयार की गई सामग्री को देखते हैं), स्थायी सामग्री हेरफेर और अन्य अनुवर्ती समझौते का कारण बन सकता है।.

तकनीकी व्याख्या — यह कैसे काम करता है

यह प्लगइन फ़ील्ड में एक संग्रहीत XSS भेद्यता है ma_el_bh_table_btn_text. एक योगदानकर्ता विशेषाधिकार वाला उपयोगकर्ता HTML/JavaScript वाला इनपुट सबमिट कर सकता है जिसे प्लगइन संग्रहीत करता है और बाद में उचित सफाई/एस्केपिंग के बिना प्रस्तुत करता है। जब एक आगंतुक या प्रशासक प्रभावित पृष्ठ को देखता है, तो संग्रहीत स्क्रिप्ट उनके ब्राउज़र संदर्भ में निष्पादित होगी।.

सामान्य शोषण श्रृंखला:

हमलावर एक योगदानकर्ता खाते को प्राप्त करता है या नियंत्रित करता है।.
वे प्लगइन फ़ील्ड में पेलोड सबमिट करते हैं (उदाहरण के लिए: , या एन्कोडेड रूपांतर)।.
प्लगइन इस मान को पोस्टमेटा या विकल्पों में पर्याप्त सफाई के बिना संग्रहीत करता है।.
जब साइट उस मान को प्रस्तुत करती है, तो ब्राउज़र साइट के मूल के रूप में संग्रहीत स्क्रिप्ट को निष्पादित करता है।.
यदि एक प्रशासक या अन्य विशेषाधिकार प्राप्त उपयोगकर्ता पृष्ठ को देखता है, तो स्क्रिप्ट उनके सत्र विशेषाधिकार के साथ कार्य कर सकती है।.

जोखिम विश्लेषण — यह क्यों महत्वपूर्ण है

पहुँच स्तर: योगदानकर्ता — कई साइटें योगदानकर्ता खातों या उपयोगकर्ता पंजीकरण की अनुमति देती हैं।.
उपयोगकर्ता इंटरैक्शन: आवश्यक — स्क्रिप्ट तब चलती है जब सामग्री देखी जाती है; प्रभाव इस पर निर्भर करता है कि इसे कौन देखता है।.
CVE/CVSS संदर्भ: रिपोर्ट किया गया CVSS: 6.5 (मध्यम) — मध्यम विशेषाधिकार की आवश्यकता है लेकिन प्रभाव बढ़ सकता है।.
हमलावर के उद्देश्य: सत्र चोरी, स्थायी दुर्भावनापूर्ण सामग्री, SEO स्पैम, पीड़ित ब्राउज़र के माध्यम से व्यवस्थापक क्रिया निष्पादन, फ़िशिंग/मैलवेयर के लिए रीडायरेक्ट।.

तात्कालिक कार्रवाई (इस क्रम में लागू करें)

अपडेट प्लगइन को संस्करण 2.1.2 तुरंत। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को अक्षम या हटा दें जब तक आप पैच नहीं कर सकते।.
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अस्थायी सर्वर-साइड या WAF नियम लागू करें ताकि कमजोर क्षेत्र में सबमिशन को ब्लॉक किया जा सके या स्पष्ट स्क्रिप्ट मार्कर वाले पेलोड को ब्लॉक किया जा सके।.
योगदानकर्ता खातों को अस्थायी रूप से प्रतिबंधित करें: योगदानकर्ता उपयोगकर्ताओं को हटा दें या अक्षम करें, या उनकी क्षमताओं को कम करें ताकि वे कमजोर क्षेत्र को सबमिट न कर सकें।.
कुंजी के साथ मेटा में संग्रहीत पेलोड के लिए डेटाबेस की खोज करें ma_el_bh_table_btn_text और दुर्भावनापूर्ण प्रविष्टियों को हटा दें या साफ करें।.
यदि आप संदेह करते हैं कि व्यवस्थापकों ने दुर्भावनापूर्ण सामग्री देखी है, तो व्यवस्थापक और संपादक खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें और सत्रों का ऑडिट करें।.
संदिग्ध क्रियाओं के लिए उपयोगकर्ता खातों और हाल की गतिविधि लॉग का ऑडिट करें।.
समझौते के अन्य संकेतों के लिए साइट को स्कैन करें (अप्रत्याशित फ़ाइलें, संशोधित कोड, अनुसूचित कार्य, बाहरी अनुरोध)।.
यदि API कुंजी और रहस्य उजागर हो गए हैं तो उन्हें घुमाएं।.

दुर्भावनापूर्ण संग्रहीत पेलोड को कैसे खोजें और साफ करें

हमेशा एक सत्यापित बैकअप से काम करें या पहले केवल पढ़ने वाले प्रश्न करें। कुछ भी हटाने से पहले डेटाबेस का बैकअप लें।.

उदाहरण SQL घटनाओं को खोजने के लिए (एस्केप वर्ण दिखाए गए):

SELECT post_id, meta_key, meta_value


SELECT post_id, meta_key, meta_value
FROM wp_postmeta
WHERE meta_key = 'ma_el_bh_table_btn_text'
AND (meta_value LIKE '%onerror=%' OR meta_value LIKE '%onload=%' OR meta_value LIKE '%

Example delete (only after review and backup):
DELETE FROM wp_postmeta
WHERE meta_key = 'ma_el_bh_table_btn_text'
AND (meta_value LIKE '%

WP-CLI examples for safer scripted remediation:
# List posts which have the meta key (returns IDs)
wp post meta list $(wp post list --format=ids) --meta_key=ma_el_bh_table_btn_text --format=csv

# Delete the meta key across posts (use with caution; backup first)
wp post meta delete $(wp post list --format=ids) ma_el_bh_table_btn_text
Note: Inspect meta values before deletion. Export values for forensic review if compromise is suspected.
Short-term mitigations you can apply now (technical)

Update the plugin to 2.1.2 (vendor patch is the permanent fix).
If update is not immediately possible, implement temporary server-side input filtering that blocks or sanitizes submissions to ma_el_bh_table_btn_text.
Apply a Content Security Policy (CSP) to reduce the impact of inline script execution. Example header (defense-in-depth):

      Content-Security-Policy: default-src 'self'; script-src 'self' https:; object-src 'none'; base-uri 'self';

      — test first, as CSP can break functionality if too strict.
Disable rendering of unsafe HTML for the plugin if a plugin setting exists to limit the field to plain text.
Block or rate-limit suspicious IPs targeting injection attempts and monitor logs for patterns.
Consider server-side stripping or rejection of HTML from low-trust roles (Contributors/Authors).

Example virtual patch / WAF rules (neutral examples you can adapt)
Use these as starting points. Test rules in monitor mode to avoid false positives.
Rule A — Block obvious XSS markers on the vulnerable parameter
Conditions:

Request method: POST (also consider PUT/PATCH if applicable)
Parameter: ma_el_bh_table_btn_text exists
Parameter value matches regex: (?i)(]*onerror=|onload=|javascript:|


Action: Block (403) and log origin IP and request details.
Rule B — Sanitize by stripping tags
Condition: Parameter ma_el_bh_table_btn_text exists. Action: Normalize value by removing tags/dangerous attributes and allow.
Rule C — Rate-limit contributor content submissions
Apply a throttle or CAPTCHA challenge for new contributor submissions or when a contributor posts frequently in a short time window.
Rule D — Block encoded/obfuscated payloads
Detect %3Cscript, \x3cscript, eval(, base64, or other obfuscated JS patterns and flag or block for manual review.
Developer fixes and long-term remediation
If you maintain code that saves or renders the plugin output, apply these secure coding practices:

Sanitize on save — use WordPress sanitizers appropriate to the content:

Plain text: sanitize_text_field() or wp_strip_all_tags()
Limited HTML: wp_kses( $input, $allowed_html ) with a conservative allowed list


Escape on output — use esc_html(), esc_attr() or similar depending on context.
Enforce capability checks and nonces for all form submissions.
Avoid storing untrusted rich HTML when plain text suffices. If rich HTML is required, sanitize strictly at save time and escape at render time.

Example sanitization when saving (illustrative):
// When saving meta
$value = isset($_POST['ma_el_bh_table_btn_text']) ? wp_kses_post( $_POST['ma_el_bh_table_btn_text'] ) : '';
update_post_meta( $post_id, 'ma_el_bh_table_btn_text', $value );
Example safe rendering:
$btn_text = get_post_meta( $post_id, 'ma_el_bh_table_btn_text', true );
echo '';
Incident response — if you suspect compromise

Isolate the site if you observe active exploitation (unexpected redirects, new admin activity, files modified).
Preserve logs and backups for forensic analysis.
Scan filesystem for webshells and changed files; manual review is often necessary.
Rotate admin credentials and any API keys/secrets.
Restore from a clean backup if recovery is not possible quickly.
Notify affected users if their accounts or data may have been exposed.
Perform a post-incident audit to tighten controls and close gaps.

Hardening and long-term posture

Principle of least privilege — re-evaluate roles and capabilities.
Harden user onboarding for contributors (email verification, admin approval, MFA for privileged accounts).
Run periodic content and file integrity scans; monitor for suspicious postmeta values containing HTML/JS.
Test plugin updates in staging before production; test any temporary WAF rules in staging first.
Maintain off-site versioned backups.

Testing checklist — verify protections

Update plugin to 2.1.2, then attempt to submit a benign script payload as a contributor and verify it is sanitized or blocked.
Verify any temporary WAF rules block POSTs containing script markers in the ma_el_bh_table_btn_text parameter.
Search the DB for 
			
				
			
					
							
			
			
			





		
		
					
				       
    
  
  
 
 
    
  मेरा ऑर्डर देखें
 0 
    
 
    आपके लिए सुझाया गया
    
   
 
 
   
 
     उप-योग
 चेकआउट पर कर और शिपिंग की गणना की गई
 
   
 
     चेकआउट  
 
 
 
 
 
  
 
      
 0 
 


















































सूचनाएँ

        
        
        


        
        

    
            
            Hindi
            
                                    English                                    Chinese (Hong Kong)                                    Chinese (China)                                    Spanish                                    French

हांगकांग चेतावनी XSS मास्टर ऐडऑन में (CVE20262486)

तत्काल: Elementor के लिए मास्टर ऐडऑन में XSS (≤ 2.1.1) — वर्डप्रेस साइट के मालिकों को अभी क्या करना चाहिए

सारांश

तकनीकी व्याख्या — यह कैसे काम करता है

जोखिम विश्लेषण — यह क्यों महत्वपूर्ण है

तात्कालिक कार्रवाई (इस क्रम में लागू करें)

दुर्भावनापूर्ण संग्रहीत पेलोड को कैसे खोजें और साफ करें

Short-term mitigations you can apply now (technical)

Example virtual patch / WAF rules (neutral examples you can adapt)

Rule A — Block obvious XSS markers on the vulnerable parameter

Rule B — Sanitize by stripping tags

Rule C — Rate-limit contributor content submissions

Rule D — Block encoded/obfuscated payloads

Developer fixes and long-term remediation

Incident response — if you suspect compromise

Hardening and long-term posture

Testing checklist — verify protections