CVE-2022-29455

Versões do plugin Elementor Website Builder anteriores à 3.5.6

O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor remoto execute scripts entre sites. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) refletido baseada em DOM. Estima-se que mais de 6,5 milhões de sites estejam potencialmente afetados. A vulnerabilidade pode ser explorada manipulando o parâmetro settings no endpoint /wp-content/plugins/elementor/assets/js/frontend.min.js, especificamente usando o elementor-action com action=lightbox e settings manipulados para injetar scripts maliciosos.

Para versões do plugin Elementor Website Builder anteriores à 3.5.6, atualize o plugin para uma versão posterior à 3.5.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /wp-content/plugins/elementor/assets/js/frontend.min.js até que um patch seja aplicado. Evite usar o parâmetro settings no endpoint afetado até que o problema seja resolvido.