📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 1h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 2h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 3h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 1h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 2h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 3h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h Global general الذكاء الاصطناعي وتطوير البرمجيات LOW 1h Global general الذكاء الاصطناعي والأمن السيبراني MEDIUM 1h Global malware تطوير البرمجيات / التكنولوجيا HIGH 2h Global vulnerability تكنولوجيا المعلومات HIGH 2h Global data_breach قطاع المياه والبنية التحتية الحساسة HIGH 2h Global general خدمات الأمن السيبراني HIGH 3h Global data_breach الصيدلة والأدوية HIGH 3h Global vulnerability التكنولوجيا والذكاء الاصطناعي CRITICAL 4h Global vulnerability تكنولوجيا المعلومات CRITICAL 4h Global phishing قطاع الألعاب والترفيه HIGH 4h
الثغرات

CVE-2025-13535

متوسط
The King Addons for Elementor plugin for WordPress is vulnerable to multiple Contributor+ DOM-Based Stored Cross-Site Scripting vulnerabilities in all versions up to, and including, 51.1.38. This is d
CWE-79 — نوع الضعف
نُشر: Apr 1, 2026  ·  آخر تحديث: Apr 3, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The King Addons for Elementor plugin for WordPress is vulnerable to multiple Contributor+ DOM-Based Stored Cross-Site Scripting vulnerabilities in all versions up to, and including, 51.1.38. This is due to insufficient input sanitization and output escaping across multiple widgets and features. The plugin uses esc_attr() and esc_url() within JavaScript inline event handlers (onclick attributes), which allows HTML entities to be decoded by the DOM, enabling attackers to break out of the JavaScript context. Additionally, several JavaScript files use unsafe DOM manipulation methods (template literals, .html(), and window.location.href with unvalidated URLs) with user-controlled data. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts via Elementor widget settings that execute when a user accesses the injected page or when an administrator previews the page in Elementor's editor. The vulnerability was partially patched in version 5.1.51.

🤖 ملخص AI

King Addons for Elementor plugin contains multiple DOM-based Stored XSS vulnerabilities affecting versions up to 51.1.38, allowing authenticated Contributor+ users to inject malicious scripts through widget settings. The vulnerability exploits improper use of escaping functions within JavaScript contexts and unsafe DOM manipulation methods. While a partial patch exists in version 5.1.51, complete remediation is not yet available, posing significant risk to WordPress sites using this popular page builder addon.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 14, 2026 00:48
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using WordPress with King Addons for Elementor face significant risk, particularly: (1) Government agencies and ministries using WordPress for public-facing portals and content management; (2) Banking and financial institutions using WordPress for customer-facing websites and informational portals; (3) E-commerce platforms and retail businesses relying on Elementor for website design; (4) Healthcare providers using WordPress for patient information and appointment systems; (5) Educational institutions and universities with WordPress-based learning management systems. The vulnerability is particularly dangerous in Saudi context where many organizations grant Contributor access to multiple staff members, increasing attack surface. Compromised sites could lead to credential theft, malware distribution, and reputational damage.
🏢 القطاعات السعودية المتأثرة
Government and Public Administration Banking and Financial Services E-commerce and Retail Healthcare and Medical Services Education and Universities Telecommunications Media and Publishing Real Estate and Construction
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all WordPress installations using King Addons for Elementor plugin and identify current version

2. Restrict Contributor-level access to only trusted personnel; review and revoke unnecessary Contributor+ permissions

3. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in Elementor widget parameters

4. Enable WordPress security plugins with XSS detection capabilities (Wordfence, Sucuri, iThemes Security)



PATCHING GUIDANCE:

1. Update to version 5.1.51 or later immediately as partial patch is available

2. Monitor King Addons GitHub/official channels for complete patch release

3. If update not available, consider disabling King Addons temporarily and using alternative page builders

4. Test all widget functionality after patching in staging environment



COMPENSATING CONTROLS (if patching delayed):

1. Implement Content Security Policy (CSP) headers to restrict inline script execution

2. Use WordPress security plugins to monitor and log all Elementor widget modifications

3. Implement database activity monitoring for widget settings changes

4. Restrict Elementor editor access to administrators only

5. Disable Elementor preview functionality for non-admin users

6. Implement regular security scanning of WordPress database for XSS payloads



DETECTION RULES:

1. Monitor wp_postmeta table for suspicious JavaScript patterns in Elementor widget settings (look for: onclick=, onerror=, onload=, javascript:, <script>

2. Alert on any Contributor+ user modifying Elementor widget settings

3. Monitor for DOM-based XSS patterns in page source: template literals with user data, .html() calls, window.location.href assignments

4. Log all changes to Elementor widget configurations and review for encoded HTML entities in event handlers
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات WordPress التي تستخدم مكون King Addons for Elementor وتحديد الإصدار الحالي

2. تقييد الوصول على مستوى المساهم للموظفين الموثوقين فقط؛ مراجعة وإلغاء أذونات المساهم+ غير الضرورية

3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حقن XSS وحجبها في معاملات أداة Elementor

4. تفعيل مكونات أمان WordPress مع قدرات الكشف عن XSS (Wordfence, Sucuri, iThemes Security)



إرشادات التصحيح:

1. التحديث إلى الإصدار 5.1.51 أو أحدث فوراً حيث يتوفر إصلاح جزئي

2. مراقبة قنوات King Addons الرسمية لإصدار الإصلاح الكامل

3. إذا لم يكن التحديث متاحاً، فكر في تعطيل King Addons مؤقتاً واستخدام منشئي صفحات بديلين

4. اختبر جميع وظائف الأداة بعد التصحيح في بيئة التدريج



الضوابط التعويضية (إذا تأخر التصحيح):

1. تنفيذ رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ البرامج النصية المضمنة

2. استخدام مكونات أمان WordPress لمراقبة وتسجيل جميع تعديلات أداة Elementor

3. تنفيذ مراقبة نشاط قاعدة البيانات لتغييرات إعدادات الأداة

4. تقييد الوصول إلى محرر Elementor للمسؤولين فقط

5. تعطيل وظيفة معاينة Elementor للمستخدمين غير المسؤولين

6. تنفيذ فحص أمان منتظم لقاعدة بيانات WordPress بحثاً عن حمولات XSS



قواعد الكشف:

1. مراقبة جدول wp_postmeta بحثاً عن أنماط JavaScript مريبة في إعدادات أداة Elementor (ابحث عن: onclick=, onerror=, onload=, javascript:, <script>

2. تنبيه على أي مستخدم Contributor+ يعدل إعدادات أداة Elementor

3. مراقبة أنماط XSS القائمة على DOM في مصدر الصفحة: حروف القالب مع بيانات المستخدم، استدعاءات .html()، تعيينات window.location.href

4. تسجيل جميع التغييرات على تكوينات أداة Elementor ومراجعتها بحثاً عن كيانات HTML المشفرة في معالجات الأحداث
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1.1 - Input validation and output encoding controls 5.1.2 - Protection against injection attacks 5.2.1 - Web application security controls 5.2.2 - Secure coding practices 5.3.1 - Vulnerability management and patching
🔵 SAMA CSF
ID.BE-5.1 - Cybersecurity risk management processes PR.DS-1.1 - Data security and protection PR.DS-6.1 - Integrity checking mechanisms DE.CM-1.1 - Detection and analysis of anomalies RS.MI-2.1 - Incident response and recovery
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Separation of development, test and production environments A.12.6.1 - Management of technical vulnerabilities A.12.2.1 - Restriction of access to information
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.5.7 - Cross-site scripting (XSS) prevention 6.2 - Security patches and updates 11.2 - Vulnerability scanning
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.06%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-01
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.