Vulnerabilidad en Royal Elementor Addons and Templates para WordPress (CVE-2024-3889)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
23/04/2024
Última modificación:
23/04/2024
Descripción
El complemento Royal Elementor Addons and Templates para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Advanced Accordion del complemento en todas las versiones hasta la 1.3.971 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como 'accordion_title_tag '. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3072880/royal-elementor-addons/tags/1.3.972/modules/advanced-accordion/widgets/wpr-advanced-accordion.php?old=3069462&old_path=royal-elementor-addons/tags/1.3.971/modules/advanced-accordion/widgets/wpr-advanced-accordion.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/83ea2ec3-5d5b-44ea-83e6-41c4fa6e2e5f?source=cve