The The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce plugin for WordPress is vulnerable to Insufficient Verification of Data Authenticity in all versions up to, and including, 6.4.7. This is due to the plugin decrypting and trusting attacker-controlled email_data in an unauthenticated AJAX handler without cryptographic authenticity guarantees. This makes it possible for unauthenticated attackers to tamper with form email routing and redirection values to trigger unauthorized email relay and attacker-controlled redirection via the 'email_data' parameter.
The Plus Addons for Elementor WordPress plugin versions up to 6.4.7 contain an insufficient data authenticity verification vulnerability in AJAX handlers. Unauthenticated attackers can manipulate email routing and redirect users to malicious sites by tampering with the email_data parameter.
تحتوي الإضافة على معالج AJAX غير محمي يقوم بفك تشفير وتصديق بيانات البريد الإلكتروني التي يتحكم فيها المهاجم دون التحقق من صحتها التشفيرية. يسمح هذا للمهاجمين بتحويل رسائل البريد الإلكتروني إلى عناوين ضارة وإعادة توجيه المستخدمين إلى مواقع خطرة.
ثغرة في التحقق من صحة البيانات في إضافة The Plus Addons for Elementor لـ WordPress تصل إلى الإصدار 6.4.7. يمكن للمهاجمين غير المصرح لهم تعديل توجيه البريد الإلكتروني وإعادة التوجيه عبر معامل email_data.
Update The Plus Addons for Elementor plugin to version 6.4.8 or later immediately. If immediate patching is not possible, disable the plugin until an update is available. Review email routing configurations and monitor for suspicious email relay activities.
قم بتحديث إضافة The Plus Addons for Elementor إلى الإصدار 6.4.8 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل الإضافة حتى يتوفر التحديث. راجع إعدادات توجيه البريد الإلكتروني وراقب أنشطة إعادة التوجيه المريبة.