Vulnerabilities ›

CVE-2026-11603

Medium

CWE-79 — Weakness Type

                    Published: Jun 9, 2026                      ·  Modified: Jun 10, 2026                      ·  Source: NVD                

CVSS v3

6.1

🔗 NVD Official

📄 Description (English)

The Product Filter Widget for Elementor plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via 'args[filterFormArray]' Parameter in all versions up to, and including, 1.0.6 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. The endpoint is registered via wp_ajax_nopriv_ with no nonce verification or capability check, and exploitation is delivered via a CSRF-style form auto-submission to the admin-ajax.php endpoint, requiring the attacker to trick a victim into visiting an attacker-controlled page.

🤖 AI Executive Summary

The Product Filter Widget for Elementor WordPress plugin versions up to 1.0.6 contains a Reflected Cross-Site Scripting (XSS) vulnerability in the 'args[filterFormArray]' parameter due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when users click malicious links, potentially compromising website security and user data.

📄 Description (Arabic)

ثغرة XSS عكسية في منتج Product Filter Widget لـ Elementor تسمح للمهاجمين بحقن نصوص برمجية عبر معامل غير محمي في نقطة نهاية AJAX. الهجوم يتطلب من المهاجم خداع الضحية لزيارة صفحة يتحكم بها أو النقر على رابط ضار يرسل طلب CSRF تلقائياً. لا توجد تحقق من nonce أو فحص للصلاحيات على النقطة النهائية المسجلة.

🤖 ملخص تنفيذي (AI)

منتج Product Filter Widget لمكون Elementor في WordPress حتى الإصدار 1.0.6 يحتوي على ثغرة XSS عكسية في معامل 'args[filterFormArray]' بسبب عدم كفاية تنظيف المدخلات. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند نقر المستخدمين على روابط خطرة.

🤖 AI Intelligence Analysis Analyzed: Jun 9, 2026 09:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1204

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update the Product Filter Widget for Elementor plugin to version 1.0.7 or later immediately. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security awareness training for users regarding suspicious links. Monitor admin-ajax.php access logs for unusual activity patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث منتج Product Filter Widget لـ Elementor إلى الإصدار 1.0.7 أو أحدث فوراً. طبق قواعد جدار حماية تطبيقات الويب (WAF) لكشف وحجب حمولات XSS. أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن الروابط المريبة. راقب سجلات وصول admin-ajax.php للأنشطة غير العادية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://plugins.trac.wordpress.org/browser/product-filter-widget-for-elementor/trunk/in...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/e25ef117-72c4-4696-9248-5caa9...

security@wordfence.com

📊 CVSS Score

6.1

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.1

CWECWE-79

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-06-09

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-11603

Introduce Yourself

Sign In Required