Jongwook Gong

**Nome do Software Vulnerável e Versões Afetadas** Product Filter Widget for Elementor versões anteriores a 1.0.7 **Description** A sanitização insuficiente de entrada e a escape de saída inadequada permitem que atacantes não autenticados injetem scripts web arbitrários. Isso é realizado por meio de um envio automático de formulário estilo CSRF para o endpoint 'admin-ajax.php', que é registrado via `wp ajax nopriv ` sem verificação de nonce ou checagem de capacidade. O problema é acionado através do parâmetro `args[filterFormArray]`. A exploração requer enganar um usuário para que ele visite uma página controlada pelo atacante para executar os scripts. **Recommendations** Atualize para uma versão posterior a 1.0.6.