CVE-2021-24203

**Nome do software vulnerável e versões afetadas:

Versões do plugin Elementor Website Builder para WordPress anteriores à 3.1.4

Descrição:

A vulnerabilidade permite que um usuário com permissões de Colaborador ou superiores execute código JavaScript quando uma página salva é visualizada ou pré-visualizada. Isso é feito enviando uma solicitação ‘save builder’ modificada com o parâmetro html tag definido como ‘script’ e o parâmetro text contendo JavaScript. O controle de elementos lista um conjunto fixo de tags HTML possíveis, mas ainda é possível explorar essa vulnerabilidade.

Recomendações:

Para versões do plugin Elementor Website Builder para WordPress anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o parâmetro html tag no widget divisor para impedir que ele seja definido como ‘script’ até que uma correção seja aplicada. Além disso, restrinja o acesso à solicitação ‘save builder’ para minimizar o risco de exploração.