CVE-2025-13535 in King Addons for Elementor Pluginالمعلومات

الملخص

بحسب VulDB • 11/06/2026

يحتوي مكون WordPress "King Addons for Elementor" على ثغرات متعددة من نوع تخزين Cross-Site Scripting (XSS) قائمة على DOM (Stored DOM-Based XSS) في جميع الإصدارات حتى 51.1.38 وشاملة لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات (input sanitization) وإخراج الهروب (output escaping) عبر عدة عناصر واجهة (widgets) وميزات. يستخدم المكون دالتي `esc_attr()` و `esc_url()` ضمن معالجات الأحداث المضمنة في JavaScript (سمات onclick)، مما يسمح بتفكيك كيانات HTML بواسطة DOM، مما يمكّن المهاجمين من الخروج من سياق JavaScript. بالإضافة إلى ذلك، تستخدم عدة ملفات JavaScript طرق تعديل DOM غير آمنة (مثل الحروف النمطية template literals، ودالة `.html()`، و `window.location.href` مع عناوين URL غير مدققة) مع بيانات يتحكم فيها المستخدم. وهذا يجعل من الممكن للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Contributor" فأعلى، حقن نصوص ويب عشوائية عبر إعدادات عنصر واجهة Elementor، والتي يتم تنفيذها عندما يقوم مستخدم بالوصول إلى الصفحة المحقونة أو عندما يقوم مسؤول بمعاينة الصفحة في محرر Elementor. تم إصلاح الثغرة جزئياً في الإصدار 5.1.51.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Wordfence

حجز

22/11/2025

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354686

EPSS

0.00241

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you know our Splunk app?

Download it now for free!