The The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's Progress Bar shortcode in all versions up to, and including, 6.4.9 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Plus Addons for Elementor WordPress plugin versions up to 6.4.9 contain a Stored XSS vulnerability in the Progress Bar shortcode due to insufficient input sanitization. Authenticated attackers with contributor-level access can inject malicious scripts that execute when users view affected pages.
تؤثر هذه الثغرة على جميع إصدارات إضافة The Plus Addons for Elementor حتى الإصدار 6.4.9 وتسمح للمستخدمين المصرحين برفع محتوى بحقن برامج نصية ضارة عبر سمات اختصار Progress Bar. يتم تنفيذ البرامج النصية المحقونة في سياق المتصفح عندما يزور أي مستخدم الصفحة المتأثرة، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم.
إضافة The Plus Addons for Elementor لـ WordPress حتى الإصدار 6.4.9 تحتوي على ثغرة XSS مخزنة في اختصار Progress Bar بسبب عدم كفاية تنظيف المدخلات. يمكن للمهاجمين المصرحين على مستوى المساهم حقن برامج نصية ضارة تُنفذ عند عرض الصفحات المتأثرة.
Update The Plus Addons for Elementor plugin to version 6.5.0 or later immediately. If immediate update is not possible, disable the Progress Bar shortcode functionality and restrict contributor-level access to trusted administrators only. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads.
قم بتحديث إضافة The Plus Addons for Elementor إلى الإصدار 6.5.0 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل وظيفة اختصار Progress Bar وقصر الوصول على مستوى المساهم على المسؤولين الموثوقين فقط. طبق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها.