The Product Filter Widget for Elementor plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via 'args[filterFormArray]' Parameter in all versions up to, and including, 1.0.6 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. The endpoint is registered via wp_ajax_nopriv_ with no nonce verification or capability check, and exploitation is delivered via a CSRF-style form auto-submission to the admin-ajax.php endpoint, requiring the attacker to trick a victim into visiting an attacker-controlled page.
The Product Filter Widget for Elementor WordPress plugin versions up to 1.0.6 contains a Reflected Cross-Site Scripting (XSS) vulnerability in the 'args[filterFormArray]' parameter due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when users click malicious links, potentially compromising website security and user data.
ثغرة XSS عكسية في منتج Product Filter Widget لـ Elementor تسمح للمهاجمين بحقن نصوص برمجية عبر معامل غير محمي في نقطة نهاية AJAX. الهجوم يتطلب من المهاجم خداع الضحية لزيارة صفحة يتحكم بها أو النقر على رابط ضار يرسل طلب CSRF تلقائياً. لا توجد تحقق من nonce أو فحص للصلاحيات على النقطة النهائية المسجلة.
منتج Product Filter Widget لمكون Elementor في WordPress حتى الإصدار 1.0.6 يحتوي على ثغرة XSS عكسية في معامل 'args[filterFormArray]' بسبب عدم كفاية تنظيف المدخلات. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند نقر المستخدمين على روابط خطرة.
Update the Product Filter Widget for Elementor plugin to version 1.0.7 or later immediately. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security awareness training for users regarding suspicious links. Monitor admin-ajax.php access logs for unusual activity patterns.
قم بتحديث منتج Product Filter Widget لـ Elementor إلى الإصدار 1.0.7 أو أحدث فوراً. طبق قواعد جدار حماية تطبيقات الويب (WAF) لكشف وحجب حمولات XSS. أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن الروابط المريبة. راقب سجلات وصول admin-ajax.php للأنشطة غير العادية.