CVE-2025-4774

Nome do Software Vulnerável e Versões Afetadas O plugin Premium Addons for Elementor para WordPress, versões até e incluindo a 4.11.8

Descrição A vulnerabilidade está relacionada ao Cross-Site Scripting Armazenado através do atributo data-countdown do widget Countdown. Isso se deve à sanitização de entrada e escape de saída insuficientes, permitindo que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página onde foram injetados.

Recomendações Para versões até e incluindo a 4.11.8, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída para prevenir ataques de Cross-Site Scripting Armazenado. Como solução temporária, considere restringir o acesso ao widget Countdown para usuários com acesso de nível de Contribuidor ou superior até que um patch esteja disponível.