Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2024-7122)
Severidad:
MEDIA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
30/08/2024
Última modificación:
30/08/2024
Descripción
El complemento Elementor Addon Elements para WordPress es vulnerable a Cross Site Scripting almacenado a través de varios widgets en todas las versiones hasta la 1.13.6 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/addon-elements-for-elementor-page-builder/trunk/assets/js/eae.js#L568
- https://plugins.trac.wordpress.org/browser/addon-elements-for-elementor-page-builder/trunk/modules/animated-gradient/module.php#L160
- https://plugins.trac.wordpress.org/browser/addon-elements-for-elementor-page-builder/trunk/modules/dual-button/widgets/dual-button.php#L1045
- https://plugins.trac.wordpress.org/browser/addon-elements-for-elementor-page-builder/trunk/modules/image-compare/widgets/image-compare.php#L537
- https://plugins.trac.wordpress.org/browser/addon-elements-for-elementor-page-builder/trunk/modules/text-separator/widgets/text-separator.php#L570
- https://plugins.trac.wordpress.org/changeset/3143440/
- https://plugins.trac.wordpress.org/changeset/3143444/
- https://wordpress.org/plugins/addon-elements-for-elementor-page-builder/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/668621b0-67ef-44fc-a126-e8c4e372666e?source=cve