CVE-2021-24292

Plugin Happy Addons for Elementor para WordPress, versões anteriores à 2.24.0

Plugin Happy Addons Pro for Elementor para WordPress, versões anteriores à 1.17.0

A vulnerabilidade diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado que pode ser explorado por usuários com privilégios mais baixos, como colaboradores. Isso é possível devido a uma falha no widget “Card”, que aceita um parâmetro title tag. Embora o controle do elemento liste um conjunto fixo de tags HTML possíveis, um invasor pode enviar uma solicitação ‘save builder’ com o heading tag definido como “script” e o parâmetro title real definido como JavaScript. Esse código JavaScript pode então ser executado dentro das tags de script adicionadas pelo parâmetro heading tag.

Para versões do plugin Happy Addons for Elementor para WordPress anteriores à 2.24.0, atualize para a versão 2.24.0 ou posterior para resolver o problema.

Para versões do plugin Happy Addons Pro for Elementor para WordPress anteriores à 1.17.0, atualize para a versão 1.17.0 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao widget “Cartão” para usuários com privilégios mais baixos até que a atualização seja aplicada.