CVE-2024-0585

O plugin Essential Addons for Elementor para o WordPress, nas versões até a 5.9.4, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do widget Filterable Gallery do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saída na URL da imagem. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 5.9.4, inclusive, considere desativar o widget Filterable Gallery até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao campo de entrada da URL da imagem para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para a URL da imagem no widget Filterable Gallery.