Il plugin Elementor Website Builder, molto più di un semplice Page Builder per WordPress, è vulnerabile alle eliminazioni arbitrarie di file e alla deserializzazione PHAR fino alla versione 3.19.0 inclusa. Ciò è dovuto al fatto che il plugin non fornisce una validazione sufficiente del percorso sul parametro ‘tmp_name’. Ciò consente ai malintenzionati autenticati, con accesso a livello di collaboratore e superiore, di eliminare file arbitrari e inserire oggetti PHP attraverso l’uso di un wrapper phar, i quali possono portare all’esecuzione di codice remoto.