CVE-2025-13141

Nome do Software Vulnerável e Versões Afetadas Plugin HT Mega – Absolute Addons For Elementor para WordPress versões anteriores à 3.0.0

Descrição O plugin HT Mega – Absolute Addons For Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado através de seus blocos do Gutenberg. Isso é causado por uma validação de entrada inadequada de nomes de tags HTML fornecidos pelo usuário, especificamente a falta de uma lista branca de nomes de tags. Tags perigosas como script, iframe e object podem ser injetadas apesar do uso de tag escape() para sanitização. Embora alguns blocos utilizem esc html() para conteúdo, isso pode ser contornado usando técnicas de codificação JavaScript, como strings sem aspas, backticks e String.fromCharCode(). Atacantes autenticados com acesso de nível de colaborador ou superior podem injetar scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página afetada.

Recomendações Atualize o plugin HT Mega – Absolute Addons For Elementor para a versão 3.0.0 ou posterior.