Chairat Toraya

**Nome do Software Vulnerável e Versões Afetadas** Master Addons For Elementor versões anteriores a 3.1.1 **Descrição** O plugin está sujeito a Cross-Site Scripting (XSS) Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de autor ou superior podem injetar scripts web arbitrários em páginas. Isso é feito ignorando as restrições de interface do usuário e enviando uma requisição POST manipulada para o endpoint "admin-ajax.php?action=elementor ajax" para manipular a configuração de página `jtlma custom js`. Os scripts são executados sempre que um usuário visita a página afetada. **Recomendações** Atualize o plugin para uma versão posterior a 3.1.0. Como mitigação temporária, restrinja usuários de nível de autor de fazerem requisições POST para o endpoint "admin-ajax.php?action=elementor ajax".

**Name of the Vulnerable Software and Affected Versions** CSS & JavaScript Toolbox versions prior to 12.0.6 **Description** The CSS & JavaScript Toolbox plugin for WordPress is susceptible to Stored Cross-Site Scripting through admin settings. Insufficient input sanitization and output escaping allows authenticated attackers with administrator-level permissions and above to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. This issue only impacts multi-site installations and installations where unfiltered html has been disabled. **Recommendations** Update CSS & JavaScript Toolbox to version 12.0.6 or later.