Elementor <= 3.30.2 - प्रमाणित (Contributor+) टेक्स्ट पाथ विजेट के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting)

वर्डप्रेस के लिए Elementor वेबसाइट बिल्डर – मोर दैन जस्ट ए पेज बिल्डर प्लगइन, टेक्स्ट पाथ विजेट में डेटा-टेक्स्ट DOM एलिमेंट एट्रिब्यूट के माध्यम से संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting) के लिए असुरक्षित है, जो 3.30.2 तक के सभी संस्करणों में अपर्याप्त इनपुट सैनिटाइजेशन और आउटपुट एस्केपिंग के कारण है। यह प्रमाणित हमलावरों के लिए संभव बनाता है, जिनके पास Contributor-लेवल एक्सेस और उससे ऊपर है, वे पेजों में मनमाना वेब स्क्रिप्ट इंजेक्ट कर सकते हैं जो उपयोगकर्ता द्वारा इंजेक्ट किए गए पेज तक पहुंचने पर निष्पादित होंगे। यह हमला केवल Chrome/Edge ब्राउज़र को प्रभावित करता है।