漏洞信息
# Element Pack Elementor插件addons(页眉页脚,模板库,动态网格,滑块和远程箭头)5.10.28及下版本--授权贡献者+ DOM基于存储的XSS漏洞
## 概述
Element Pack Addons for Elementor 插件中存在存储型跨站脚本(XSS)漏洞,该漏洞影响到 WordPress 网站的 Wrapper Link、Countdown 和 Gallery 小部件。漏洞原因是输入处理缺乏足够的清理和输出转义。
## 影响版本
所有版本直到且包括 5.10.28
## 细节
漏洞发生在 Wrapper Link、Countdown 和 Gallery 小部件中。由于输入清理和输出转义不足,攻击者可以注入任意的 Web 脚本到页面中。这些脚本在用户访问被注入的页面时执行。
## 影响
具有 Contributor 及以上级别的认证攻击者可以利用此漏洞注入恶意脚本,并在用户访问页面时执行这些脚本。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid, Carousel and Remote Arrows) <= 5.10.28 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting
漏洞描述信息
The Element Pack Addons for Elementor – Free Templates and Widgets for Your WordPress Websites plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Wrapper Link, Countdown and Gallery widgets in all versions up to, and including, 5.10.28 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)