PT-2024-39745 · WordPress · Element Pack Elementor Addons
Craig Smith
+1
·
Publicado
2024-11-05
·
Atualizado
2024-11-08
·
CVE-2024-9657
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
O plugin Element Pack Elementor Addons para versões do WordPress até a 5.10.2, inclusive
Descrição
A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, permitindo que invasores autenticados com acesso de nível Contributor ou superior injetem scripts web arbitrários nas páginas por meio do parâmetro
tooltip. Isso possibilita que scripts maliciosos sejam injetados e executados sempre que um usuário acessar uma página afetada.Recomendações
Para versões até a 5.10.2, inclusive, atualize o plugin para a versão corrigida mais recente o mais rápido possível para mitigar os riscos. Como solução temporária, considere restringir o acesso ao parâmetro
tooltip para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Element Pack Elementor Addons