Xpro Addons — 140+ Widgets for Elementor <= 1.4.24 - 認証済み (Contributor+) Icon Boxウィジェット経由の保存型クロスサイトスクリプティング

WordPress用プラグインXpro Addons — 140+ Widgets for Elementorは、バージョン1.4.24までのIcon Boxウィジェットにおいて、入力サニタイズと出力エスケープが不十分なため、保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアカウントを持つ認証済み攻撃者が、任意のウェブスクリプトをページに注入し、ユーザーが注入されたページにアクセスするたびに実行させることが可能になります。