Elementor <= 3.29.0 - 認証済み (Contributor+) 格納型クロスサイトスクリプティング

WordPress用プラグインであるElementor Website Builder – More Than Just a Page Builderの'elementor-element'ショートコードには、3.29.0までのすべてのバージョンにおいて、ユーザが提供する属性に対する入力サニタイズと出力エスケープが不十分であるため、格納型クロスサイトスクリプティングの脆弱性が存在します。これにより、投稿者レベル以上のアカウントを持つ認証済み攻撃者は、任意のウェブスクリプトをページに注入し、ユーザが注入されたページにアクセスするたびに実行させることが可能です。これは「Element Caching」が有効になっているサイトにのみ影響します。