The Livemesh Addons for Elementor plugin for WordPress is vulnerable to unauthorized modification of data and Stored Cross-Site Scripting via plugin settings in all versions up to, and including, 9.0. This is due to missing authorization checks on the AJAX handler `lae_admin_ajax()` and insufficient output escaping on multiple checkbox settings fields. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in the plugin settings page that will execute whenever an administrator accesses the plugin settings page granted they can obtain a valid nonce, which can be leaked via the plugin's improper access control on settings pages.
The Livemesh Addons for Elementor WordPress plugin contains stored XSS and authorization bypass vulnerabilities in its AJAX handler affecting versions up to 9.0. Authenticated subscribers can inject malicious scripts into plugin settings that execute when administrators access the settings page.
تحتوي الإضافة على ثغرة في معالج AJAX تسمح للمستخدمين المصرح لهم بتعديل البيانات دون فحص التفويض المناسب. يمكن لمهاجمين مصرح لهم بمستوى المشترك حقن نصوص برمجية ضارة في إعدادات المكون الإضافي التي تُنفذ عند وصول المسؤول إلى صفحة الإعدادات.
إضافة Livemesh Addons for Elementor لـ WordPress تحتوي على ثغرات XSS مخزنة وتجاوز التفويض في معالج AJAX الخاص بها. يمكن للمستخدمين المصرح لهم بمستوى المشترك إدراج نصوص برمجية ضارة في إعدادات المكون الإضافي.
Update Livemesh Addons for Elementor plugin to version 9.1 or later immediately. Implement proper authorization checks on all AJAX handlers. Apply output escaping to all checkbox settings fields. Restrict access to plugin settings pages to authorized administrators only. Review and validate all nonce implementations to prevent leakage.
قم بتحديث إضافة Livemesh Addons for Elementor إلى الإصدار 9.1 أو أحدث فوراً. تطبيق فحوصات التفويض المناسبة على جميع معالجات AJAX. تطبيق الهروب من الإخراج على جميع حقول الاختيار. تقييد الوصول إلى صفحات إعدادات المكون الإضافي للمسؤولين المصرح لهم فقط. مراجعة والتحقق من جميع تطبيقات nonce لمنع تسريبها.