Elementor <= 3.30.2 - Cross-Site Scripting (XSS) Armazenado Autenticado (Colaborador+) via Widget de Caminho de Texto

O plugin Elementor Website Builder – More Than Just a Page Builder para WordPress é vulnerável a Cross-Site Scripting (XSS) Armazenado via o atributo data-text do elemento DOM no widget de Caminho de Texto em todas as versões até, e incluindo, 3.30.2 devido à sanitização de entrada e escape de saída insuficientes. Isso torna possível para atacantes autenticados, com acesso de nível Colaborador ou superior, injetar scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. Este ataque afeta apenas os navegadores Chrome/Edge