CVE-2024-5188

O plugin Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders para o WordPress, nas versões até a 5.9.22, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio da função get manual calendar events, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível Contributor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 5.9.22, inclusive, atualize para uma versão superior à 5.9.22 para resolver o problema. Como solução temporária, considere restringir o acesso à função get manual calendar events até que um patch esteja disponível. Além disso, certifique-se de que todas as entradas do usuário sejam devidamente sanitizadas e validadas para evitar injeções de scripts maliciosos.