PT-2025-51093 · WordPress · All-In-One Addons For Elementor – Widgetkit
D.Sim
·
Publicado
2025-12-13
·
Atualizado
2025-12-13
·
CVE-2025-8779
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
All-in-One Addons for Elementor – WidgetKit versões anteriores à 2.5.7
Descrição
O plugin All-in-One Addons for Elementor – WidgetKit para WordPress possui uma falha que permite que código malicioso seja armazenado e executado quando um usuário visualiza uma página contendo o código injetado. Isso impacta os widgets Team e Countdown devido ao tratamento inadequado de dados fornecidos pelo usuário, especificamente sanitização de entrada e escape de saída insuficientes dos atributos fornecidos pelo usuário. Um atacante com acesso de nível de contribuidor ou superior pode injetar scripts web arbitrários nas páginas. Esses scripts serão então executados nos navegadores dos usuários que acessarem as páginas afetadas.
Recomendações
Atualize o All-in-One Addons for Elementor – WidgetKit para a versão 2.5.7 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
All-In-One Addons For Elementor – Widgetkit