Xpro Addons — 140+ Widgets for Elementor <= 1.4.24 - Cross-Site Scripting Armazenado (Stored Cross-Site Scripting) Autenticado (Colaborador+ (Contributor+)) via Widget Icon Box

O plugin Xpro Addons — 140+ Widgets for Elementor para WordPress é vulnerável a Cross-Site Scripting Armazenado (Stored Cross-Site Scripting) via o widget Icon Box em versões até, e incluindo, 1.4.24 devido à sanitização de entrada e escape de saída insuficientes. Isso torna possível que atacantes autenticados, com acesso de nível de colaborador (contributor-level access) e superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.