Elementor <= 3.30.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Text Path Widget

De Elementor Website Builder – More Than Just a Page Builder plugin voor WordPress is kwetsbaar voor Stored Cross-Site Scripting via het data-text DOM-elementattribuut in de Text Path-widget in alle versies tot en met 3.30.2 vanwege onvoldoende invoeropschoning en uitvoer-escaping. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met toegang op Contributor-niveau en hoger, om willekeurige webscripts te injecteren in pagina's die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina opent. Deze aanval treft alleen Chrome/Edge-browsers.