The Avada (Fusion) Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via multiple shortcodes in all versions up to, and including, 3.15.2 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user (typically an administrator) accesses a page displaying dynamic user data (such as via the Dynamic Data feature pulling user biographical information).
The Avada Builder WordPress plugin versions up to 3.15.2 contain a Stored Cross-Site Scripting vulnerability in multiple shortcodes due to insufficient input sanitization. Authenticated attackers with Subscriber-level access can inject malicious scripts that execute when administrators view pages with dynamic user data.
يؤثر هذا الضعف على مكون Avada Builder الشهير المستخدم في آلاف مواقع WordPress في المملكة. يسمح للمهاجمين المصرح لهم بتنفيذ كود JavaScript عشوائي في سياق المسؤول، مما قد يؤدي إلى سرقة جلسات العمل أو البيانات الحساسة. الثغرة تؤثر على ميزة البيانات الديناميكية التي تسحب معلومات المستخدمين الشخصية.
يحتوي مكون Avada Builder لـ WordPress في الإصدارات حتى 3.15.2 على ثغرة Stored XSS في عدة اختصارات بسبب عدم كفاية تنقية المدخلات. يمكن للمهاجمين المصرح لهم على مستوى المشترك حقن نصوص برمجية ضارة تُنفذ عند عرض المسؤولين لصفحات تحتوي على بيانات مستخدم ديناميكية.
Update the Avada Builder plugin to version 3.15.3 or later immediately. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Restrict Subscriber-level permissions and conduct security audits of all pages using dynamic data features. Monitor user activity logs for suspicious script injections.
حدّث مكون Avada Builder إلى الإصدار 3.15.3 أو أحدث فوراً. طبّق قواعد جدار حماية تطبيقات الويب لكشف حجب حمولات XSS. قيّد صلاحيات مستوى المشترك وأجرِ تدقيقات أمنية لجميع الصفحات التي تستخدم ميزات البيانات الديناميكية. راقب سجلات نشاط المستخدمين للكشف عن حقن النصوص البرمجية المريبة.