The Prime Slider – Addons for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'follow_us_text' setting of the Mount widget in all versions up to, and including, 4.1.10. This is due to insufficient input sanitization and output escaping. Specifically, the `render_social_link()` function in `modules/mount/widgets/mount.php` outputs the `follow_us_text` Elementor widget setting using `echo` without any escaping function. The setting value is stored in `_elementor_data` post meta via `update_post_meta`. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Prime Slider plugin for WordPress contains a Stored XSS vulnerability in the Mount widget's follow_us_text setting that allows authenticated authors to inject malicious scripts. Attackers with Author-level access can execute arbitrary JavaScript when users view affected pages.
تحتوي إضافة Prime Slider على ثغرة Stored XSS في دالة render_social_link() حيث يتم إخراج إعداد follow_us_text بدون تجنب أو تنظيف. يمكن للمهاجمين المصرحين بمستوى المؤلف أو أعلى حقن نصوص برمجية عشوائية يتم تنفيذها عند وصول أي مستخدم إلى الصفحة المتأثرة.
ثغرة Stored XSS في إضافة Prime Slider لـ WordPress تسمح للمهاجمين المصرحين بمستوى المؤلف بحقن نصوص برمجية ضارة. يمكن تنفيذ JavaScript عشوائي عند وصول المستخدمين إلى الصفحات المتأثرة.
Update Prime Slider plugin to version 4.1.11 or later immediately. Implement input validation and output escaping for all widget settings. Review user access controls and limit Author-level permissions. Conduct security audit of all Elementor widgets for similar vulnerabilities.
حدّث إضافة Prime Slider إلى الإصدار 4.1.11 أو أحدث فوراً. طبّق التحقق من المدخلات والهروب من المخرجات لجميع إعدادات الأدوات. راجع عناصر التحكم في الوصول وحدّد صلاحيات مستوى المؤلف. أجرِ تدقيقاً أمنياً لجميع أدوات Elementor للتحقق من ثغرات مماثلة.