Alex Hickey

**Nome do Software Vulnerável e Versões Afetadas** Xpro Addons — 140+ Widgets for Elementor versões anteriores a 1.5.1 **Descrição** O plugin está suscetível à modificação não autorizada de dados porque a função `get content editor()` carece de uma verificação de capacidade adequada. Esta falha permite que atacantes não autenticados criem e publiquem templates Xpro. **Recomendações** Atualize para uma versão posterior a 1.5.0. Como medida paliativa temporária, restrinja o acesso à função `get content editor()` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Astra theme for WordPress versions through 4.12.3 **Description** The Astra theme for WordPress is susceptible to Stored Cross-Site Scripting through the `ast-page-background-meta` and `ast-content-background-meta` post meta fields. This is caused by inadequate input sanitization during meta registration and a lack of output escaping within the `astra get responsive background obj()` function. Specifically, the function fails to properly escape four CSS-context sub-properties: `background-color`, `background-image`, `overlay-color`, and `overlay-gradient`. Authenticated attackers with Contributor-level access or higher can inject malicious web scripts into pages. These scripts will then execute whenever a user accesses the compromised page. The vulnerable function is `astra get responsive background obj()`. **Recommendations** Update the Astra theme to a version beyond 4.12.3.