📄 Description (English)
The Xpro Addons — 140+ Widgets for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Pricing Widget's 'onClick Event' setting in all versions up to, and including, 1.4.20 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
🤖 AI Executive Summary
The Xpro Addons plugin for WordPress contains a Stored Cross-Site Scripting (XSS) vulnerability in the Pricing Widget's onClick Event setting, affecting versions up to 1.4.20. Authenticated users with contributor-level access can inject malicious scripts that execute for all page visitors. While currently unpatched, the medium CVSS score (6.4) and requirement for authenticated access limit immediate risk, but the stored nature of the vulnerability poses persistent threats to website integrity and visitor security.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 13, 2026 22:42
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using WordPress with Xpro Addons plugin face risks across multiple sectors: E-commerce and retail businesses (heavy Elementor users) risk customer data theft and payment fraud; government and municipal websites risk defacement and credential harvesting; healthcare providers risk patient data exposure; financial services risk phishing attacks targeting customers. The vulnerability is particularly concerning for Saudi SMEs and government entities that rely on WordPress for public-facing portals. Risk is elevated for organizations with weak access controls allowing contributor-level account compromise.
🏢 Affected Saudi Sectors
E-commerce and Retail
Government and Public Administration
Healthcare
Financial Services
Telecommunications
Education
Hospitality and Tourism
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Audit all WordPress installations using Xpro Addons plugin and identify version numbers
2. Review user access logs for contributor-level and above accounts for suspicious activity
3. Inspect all Pricing Widget configurations for suspicious onClick Event values containing script tags or event handlers
4. Disable the Pricing Widget feature if not actively used
PATCHING GUIDANCE:
1. Monitor Xpro Addons GitHub/official channels for security updates (no patch currently available)
2. When patch is released, immediately apply to all affected installations
3. Test patches in staging environment before production deployment
COMPENSATING CONTROLS (until patch available):
1. Restrict contributor-level access to only trusted users; audit existing contributor accounts
2. Implement Web Application Firewall (WAF) rules to detect and block script injection in onClick Event parameters
3. Enable WordPress security plugins (Wordfence, Sucuri) with XSS detection capabilities
4. Implement Content Security Policy (CSP) headers to restrict inline script execution
5. Use WordPress user role management to limit Pricing Widget access to administrators only
6. Enable WordPress audit logging to track all widget configuration changes
DETECTION RULES:
1. Monitor database for Pricing Widget settings containing: <script, javascript:, onerror=, onload=, onclick= in onClick Event fields
2. Alert on any modifications to Pricing Widget configurations by non-admin users
3. Monitor page source code for unexpected script tags in rendered Pricing Widget HTML
4. Track contributor account creation and privilege escalation events
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع تثبيتات WordPress التي تستخدم مكون Xpro Addons وتحديد أرقام الإصدارات
2. مراجعة سجلات الوصول للمستخدمين على مستوى المساهم وما فوقه للنشاط المريب
3. فحص جميع تكوينات أداة التسعير للقيم المريبة في onClick Event تحتوي على علامات script أو معالجات أحداث
4. تعطيل ميزة أداة التسعير إذا لم تكن قيد الاستخدام النشط
إرشادات التصحيح:
1. مراقبة قنوات Xpro Addons الرسمية للتحديثات الأمنية (لا يوجد تصحيح متاح حالياً)
2. عند إصدار التصحيح، تطبيقه فوراً على جميع التثبيتات المتأثرة
3. اختبار التصحيحات في بيئة التطوير قبل نشرها في الإنتاج
الضوابط البديلة (حتى توفر التصحيح):
1. تقييد الوصول على مستوى المساهم للمستخدمين الموثوقين فقط؛ تدقيق حسابات المساهمين الحالية
2. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حقن النصوص البرمجية وحجبها
3. تفعيل مكونات أمان WordPress (Wordfence, Sucuri) مع قدرات الكشف عن XSS
4. تنفيذ رؤوس Content Security Policy (CSP) لتقييد تنفيذ النصوص البرمجية المضمنة
5. استخدام إدارة أدوار مستخدمي WordPress لتقييد الوصول إلى أداة التسعير للمسؤولين فقط
6. تفعيل تسجيل تدقيق WordPress لتتبع جميع تغييرات تكوين الأداة
قواعد الكشف:
1. مراقبة قاعدة البيانات لإعدادات أداة التسعير التي تحتوي على: <script, javascript:, onerror=, onload=, onclick= في حقول onClick Event
2. تنبيه عند أي تعديلات على تكوينات أداة التسعير من قبل مستخدمين غير المسؤولين
3. مراقبة كود الصفحة المصدري للنصوص البرمجية غير المتوقعة في HTML أداة التسعير المعروضة
4. تتبع أحداث إنشاء حساب المساهم وتصعيد الامتيازات
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
5.1.1 - Input validation and output encoding controls
5.2.1 - Web application security requirements
5.3.2 - Secure coding practices for third-party components
6.1.1 - Vulnerability management and patching
🔵 SAMA CSF
ID.SC-4 - Third-party risks and supply chain security
PR.DS-1 - Data security and protection
PR.IP-1 - Security policy and procedures
DE.CM-1 - Detection and monitoring of security events
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy
A.14.2.5 - Secure development environment
A.14.3.1 - Separation of development, test and production environments
A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention
6.5.7 - Cross-site scripting (XSS) prevention
6.2 - Security patches and updates