Katalog CVE

CVE-2025-8444

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wtyczka Animation Addons dla Elementor, zasilana przez GSAP, jest podatna na ataki typu DOM-Based Stored Cross-Site Scripting w wersjach do 2.6.7 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych, co pozwala na wstrzykiwanie dowolnych skryptów webowych przez uwierzytelnionych atakujących z dostępem na poziomie Contributor i wyżej.

Ocena ryzyka

Atakujący mogą wstrzykiwać złośliwe skrypty, które będą wykonywane, gdy użytkownik odwiedzi zainfekowaną stronę, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych i ucieczki danych wyjściowych.

Oryginalny opis (angielski, źródło NVD)

The Animation Addons for Elementor – GSAP Powered Elementor Addons & Website Templates plugin for WordPress is vulnerable to DOM-Based Stored Cross-Site Scripting via the multiple parameters in all versions up to, and including, 2.6.7 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS