The Royal Addons for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Instagram Feed widget's 'instagram_follow_text' setting in all versions up to, and including, 1.7.1056 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. Note that exploitation requires that an administrator has previously configured the Instagram Feed widget with a valid Instagram access token on the site.
The Royal Addons for Elementor WordPress plugin versions up to 1.7.1056 contain a Stored XSS vulnerability in the Instagram Feed widget's 'instagram_follow_text' setting due to insufficient input sanitization. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
يحتوي مكون Royal Addons for Elementor على ثغرة Stored XSS في إعداد 'instagram_follow_text' بأداة Instagram Feed بسبب عدم كفاية تنظيف المدخلات والمخرجات. يمكن للمهاجمين المصرحين على مستوى المساهم أو أعلى حقن نصوص برمجية ضارة تُنفذ عند وصول المستخدمين إلى الصفحات المتأثرة. يتطلب الاستغلال أن يكون المسؤول قد قام مسبقاً بتكوين أداة Instagram Feed برمز وصول Instagram صحيح.
The Royal Addons for Elementor WordPress plugin versions up to 1.7.1056 contain a Stored XSS vulnerability in the Instagram Feed widget's 'instagram_follow_text' setting due to insufficient input sanitization. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
Update the Royal Addons for Elementor plugin to version 1.7.1057 or later immediately. Restrict Contributor-level access permissions to trusted users only. Disable the Instagram Feed widget if not actively used. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Review and audit all existing Instagram Feed widget configurations for suspicious content.
قم بتحديث مكون Royal Addons for Elementor إلى الإصدار 1.7.1057 أو أحدث فوراً. قيّد صلاحيات مستوى المساهم للمستخدمين الموثوقين فقط. عطّل أداة Instagram Feed إذا لم تكن قيد الاستخدام. طبّق قواعد جدار الحماية لتطبيقات الويب لكشف وحجب حمولات XSS. راجع وتدقيق جميع إعدادات أداة Instagram Feed الموجودة للتحقق من المحتوى المريب.