📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 3h Global ransomware المؤسسات / جميع القطاعات CRITICAL 3h Global data_breach القطاع الحكومي CRITICAL 5h Global malware قطاعات متعددة / الجمهور العام HIGH 5h Global vulnerability تكنولوجيا وتطوير البرمجيات CRITICAL 6h Global malware,vulnerability,apt التكنولوجيا، خدمات السحابة، الإلكترونيات الاستهلاكية HIGH 6h Global malware استضافة الويب وإدارة المحتوى HIGH 6h Global vulnerability تكنولوجيا المعلومات والبنية التحتية للشبكات CRITICAL 7h Global general الكل MEDIUM 8h Global general الكل MEDIUM 8h Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 3h Global ransomware المؤسسات / جميع القطاعات CRITICAL 3h Global data_breach القطاع الحكومي CRITICAL 5h Global malware قطاعات متعددة / الجمهور العام HIGH 5h Global vulnerability تكنولوجيا وتطوير البرمجيات CRITICAL 6h Global malware,vulnerability,apt التكنولوجيا، خدمات السحابة، الإلكترونيات الاستهلاكية HIGH 6h Global malware استضافة الويب وإدارة المحتوى HIGH 6h Global vulnerability تكنولوجيا المعلومات والبنية التحتية للشبكات CRITICAL 7h Global general الكل MEDIUM 8h Global general الكل MEDIUM 8h Global vulnerability الإلكترونيات الاستهلاكية / التكنولوجيا CRITICAL 3h Global ransomware المؤسسات / جميع القطاعات CRITICAL 3h Global data_breach القطاع الحكومي CRITICAL 5h Global malware قطاعات متعددة / الجمهور العام HIGH 5h Global vulnerability تكنولوجيا وتطوير البرمجيات CRITICAL 6h Global malware,vulnerability,apt التكنولوجيا، خدمات السحابة، الإلكترونيات الاستهلاكية HIGH 6h Global malware استضافة الويب وإدارة المحتوى HIGH 6h Global vulnerability تكنولوجيا المعلومات والبنية التحتية للشبكات CRITICAL 7h Global general الكل MEDIUM 8h Global general الكل MEDIUM 8h
الثغرات

CVE-2025-13368

متوسط
The Xpro Addons — 140+ Widgets for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Pricing Widget's 'onClick Event' setting in all versions up to, and including, 1.
CWE-79 — نوع الضعف
نُشر: Apr 4, 2026  ·  آخر تحديث: Apr 7, 2026  ·  المصدر: NVD
CVSS v3
6.4
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

The Xpro Addons — 140+ Widgets for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Pricing Widget's 'onClick Event' setting in all versions up to, and including, 1.4.20 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

🤖 ملخص AI

The Xpro Addons plugin for WordPress contains a Stored Cross-Site Scripting (XSS) vulnerability in the Pricing Widget's onClick Event setting, affecting versions up to 1.4.20. Authenticated users with contributor-level access can inject malicious scripts that execute for all page visitors. While currently unpatched, the medium CVSS score (6.4) and requirement for authenticated access limit immediate risk, but the stored nature of the vulnerability poses persistent threats to website integrity and visitor security.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 13, 2026 22:42
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations using WordPress with Xpro Addons plugin face risks across multiple sectors: E-commerce and retail businesses (heavy Elementor users) risk customer data theft and payment fraud; government and municipal websites risk defacement and credential harvesting; healthcare providers risk patient data exposure; financial services risk phishing attacks targeting customers. The vulnerability is particularly concerning for Saudi SMEs and government entities that rely on WordPress for public-facing portals. Risk is elevated for organizations with weak access controls allowing contributor-level account compromise.
🏢 القطاعات السعودية المتأثرة
E-commerce and Retail Government and Public Administration Healthcare Financial Services Telecommunications Education Hospitality and Tourism
⚖️ درجة المخاطر السعودية (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all WordPress installations using Xpro Addons plugin and identify version numbers

2. Review user access logs for contributor-level and above accounts for suspicious activity

3. Inspect all Pricing Widget configurations for suspicious onClick Event values containing script tags or event handlers

4. Disable the Pricing Widget feature if not actively used



PATCHING GUIDANCE:

1. Monitor Xpro Addons GitHub/official channels for security updates (no patch currently available)

2. When patch is released, immediately apply to all affected installations

3. Test patches in staging environment before production deployment



COMPENSATING CONTROLS (until patch available):

1. Restrict contributor-level access to only trusted users; audit existing contributor accounts

2. Implement Web Application Firewall (WAF) rules to detect and block script injection in onClick Event parameters

3. Enable WordPress security plugins (Wordfence, Sucuri) with XSS detection capabilities

4. Implement Content Security Policy (CSP) headers to restrict inline script execution

5. Use WordPress user role management to limit Pricing Widget access to administrators only

6. Enable WordPress audit logging to track all widget configuration changes



DETECTION RULES:

1. Monitor database for Pricing Widget settings containing: <script, javascript:, onerror=, onload=, onclick= in onClick Event fields

2. Alert on any modifications to Pricing Widget configurations by non-admin users

3. Monitor page source code for unexpected script tags in rendered Pricing Widget HTML

4. Track contributor account creation and privilege escalation events
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات WordPress التي تستخدم مكون Xpro Addons وتحديد أرقام الإصدارات

2. مراجعة سجلات الوصول للمستخدمين على مستوى المساهم وما فوقه للنشاط المريب

3. فحص جميع تكوينات أداة التسعير للقيم المريبة في onClick Event تحتوي على علامات script أو معالجات أحداث

4. تعطيل ميزة أداة التسعير إذا لم تكن قيد الاستخدام النشط



إرشادات التصحيح:

1. مراقبة قنوات Xpro Addons الرسمية للتحديثات الأمنية (لا يوجد تصحيح متاح حالياً)

2. عند إصدار التصحيح، تطبيقه فوراً على جميع التثبيتات المتأثرة

3. اختبار التصحيحات في بيئة التطوير قبل نشرها في الإنتاج



الضوابط البديلة (حتى توفر التصحيح):

1. تقييد الوصول على مستوى المساهم للمستخدمين الموثوقين فقط؛ تدقيق حسابات المساهمين الحالية

2. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حقن النصوص البرمجية وحجبها

3. تفعيل مكونات أمان WordPress (Wordfence, Sucuri) مع قدرات الكشف عن XSS

4. تنفيذ رؤوس Content Security Policy (CSP) لتقييد تنفيذ النصوص البرمجية المضمنة

5. استخدام إدارة أدوار مستخدمي WordPress لتقييد الوصول إلى أداة التسعير للمسؤولين فقط

6. تفعيل تسجيل تدقيق WordPress لتتبع جميع تغييرات تكوين الأداة



قواعد الكشف:

1. مراقبة قاعدة البيانات لإعدادات أداة التسعير التي تحتوي على: <script, javascript:, onerror=, onload=, onclick= في حقول onClick Event

2. تنبيه عند أي تعديلات على تكوينات أداة التسعير من قبل مستخدمين غير المسؤولين

3. مراقبة كود الصفحة المصدري للنصوص البرمجية غير المتوقعة في HTML أداة التسعير المعروضة

4. تتبع أحداث إنشاء حساب المساهم وتصعيد الامتيازات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
5.1.1 - Input validation and output encoding controls 5.2.1 - Web application security requirements 5.3.2 - Secure coding practices for third-party components 6.1.1 - Vulnerability management and patching
🔵 SAMA CSF
ID.SC-4 - Third-party risks and supply chain security PR.DS-1 - Data security and protection PR.IP-1 - Security policy and procedures DE.CM-1 - Detection and monitoring of security events
🟡 ISO 27001:2022
A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Separation of development, test and production environments A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
6.5.1 - Injection flaws prevention 6.5.7 - Cross-site scripting (XSS) prevention 6.2 - Security patches and updates
📊 CVSS Score
6.4
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeC — Changed
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة متوسط
CVSS Score6.4
CWECWE-79
EPSS0.01%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-04
المصدر nvd
المشاهدات 5
🇸🇦 درجة المخاطر السعودية
6.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-79
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.