Elementor <= 3.29.0 - प्रमाणित (Contributor+) स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting)

वर्डप्रेस के लिए Elementor वेबसाइट बिल्डर – मोर दैन जस्ट ए पेज बिल्डर प्लगइन, प्लगइन के 'elementor-element' शॉर्टकोड के माध्यम से स्टोर्ड क्रॉस-साइट स्क्रिप्टिंग (Stored Cross-Site Scripting) के लिए असुरक्षित है, जो 3.29.0 तक के सभी संस्करणों में अपर्याप्त इनपुट सैनिटाइजेशन और उपयोगकर्ता द्वारा आपूर्ति किए गए एट्रिब्यूट पर आउटपुट एस्केपिंग के कारण है। यह प्रमाणित हमलावरों के लिए संभव बनाता है, जिनके पास योगदानकर्ता-स्तर (contributor-level) की एक्सेस और उससे ऊपर है, वे पृष्ठों में मनमाना वेब स्क्रिप्ट इंजेक्ट कर सकते हैं जो उपयोगकर्ता द्वारा इंजेक्ट किए गए पृष्ठ तक पहुंचने पर निष्पादित होंगे। यह केवल 'एलिमेंट कैशिंग' (Element Caching) सक्षम साइटों को प्रभावित करता है।