Elementor <= 3.33.3 - Authentifié (Contributeur+) Cross-Site Scripting (XSS) basé DOM stocké via le chemin de texte

Le plugin Elementor pour WordPress est vulnérable au Cross-Site Scripting (XSS) stocké via le widget Text Path du plugin dans toutes les versions jusqu'à la version 3.33.3 incluse, en raison d'une neutralisation insuffisante des entrées fournies par l'utilisateur utilisées pour construire le balisage SVG à l'intérieur du widget. Cela permet aux attaquants authentifiés, avec un accès de niveau contributeur et supérieur, d'injecter des scripts web arbitraires dans les pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.