CVE-2025-1802

Nome do Software Vulnerável e Versões Afetadas Plugin HT Mega – Absolute Addons For Elementor para WordPress versões até, e incluindo, 2.8.3

Descrição O problema está relacionado ao Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários em páginas por meio dos parâmetros marker title, notification content e stt button text. Esses scripts serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até, e incluindo, 2.8.3, considere restringir o acesso aos parâmetros marker title, notification content e stt button text para minimizar o risco de exploração. Como solução temporária, limite a capacidade de atacantes autenticados injetarem scripts web arbitrários implementando validação de entrada e escape de saída adicionais para esses parâmetros.