CVE-2025-13535

Name of the Vulnerable Software and Affected Versions Plugin King Addons for Elementor para WordPress versões até e incluindo 51.1.38

Description O plugin King Addons for Elementor para WordPress é suscetível a múltiplas vulnerabilidades de Cross-Site Scripting (XSS) baseado em DOM e armazenado para Contributor+. Isso é resultado de sanitização de entrada inadequada e escape de saída em vários widgets e recursos. O plugin utiliza esc attr() e esc url() dentro de manipuladores de eventos inline JavaScript (atributos onclick), o que permite que entidades HTML sejam decodificadas pelo DOM, permitindo que invasores escapem do contexto JavaScript. Vários arquivos JavaScript empregam métodos de manipulação de DOM inseguros (literais de template, .html() e window.location.href com URLs não validados) com dados controlados pelo usuário. Isso permite que invasores autenticados com acesso de nível Contributor ou superior injetem scripts web arbitrários por meio das configurações do widget Elementor. Esses scripts são executados quando um usuário acessa a página injetada ou quando um administrador visualiza a página no editor do Elementor.

Recommendations Versões até e incluindo 51.1.38 devem ser atualizadas para a versão 5.1.51 ou posterior.