The Unlimited Elements for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the form entry fields in all versions up to, and including, 2.0.5. This is due to insufficient input sanitization and output escaping on form submission data displayed in the admin Form Entries Trash view. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever an administrator views the trashed form entries.
The Unlimited Elements for Elementor WordPress plugin versions up to 2.0.5 contains a Stored XSS vulnerability in form entry fields due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when administrators view trashed form entries.
تؤثر هذه الثغرة على جميع إصدارات مكون Unlimited Elements for Elementor حتى الإصدار 2.0.5 وتسمح بحقن نصوص برمجية مخزنة عبر حقول نماذج غير محمية. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لتنفيذ أوامر برمجية عندما يقوم المسؤولون بعرض الإدخالات المحذوفة.
يحتوي مكون Unlimited Elements for Elementor لـ WordPress في الإصدارات حتى 2.0.5 على ثغرة XSS مخزنة في حقول إدخال النماذج بسبب عدم كفاية تنقية المدخلات. يمكن للمهاجمين غير المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند عرض المسؤولين للإدخالات المحذوفة.
Update the Unlimited Elements for Elementor plugin to version 2.0.6 or later immediately. If immediate patching is not possible, disable the plugin and remove it from all WordPress installations. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in form submissions. Review admin access logs for suspicious form entry submissions and audit trashed entries for injected scripts.
قم بتحديث مكون Unlimited Elements for Elementor إلى الإصدار 2.0.6 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون وإزالته من جميع تثبيتات WordPress. قم بتطبيق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حقن XSS ومنعها في إرسالات النماذج. راجع سجلات وصول المسؤول للتحقق من إرسالات النماذج المريبة وتدقيق الإدخالات المحذوفة.