The Form Maker plugin for WordPress is vulnerable to Stored Cross-Site Scripting via hidden field values in all versions up to, and including, 1.15.35. This is due to insufficient output escaping when displaying hidden field values in the admin submissions list. The plugin uses html_entity_decode() on user-supplied hidden field values without subsequent escaping before output, which converts HTML entity-encoded payloads back into executable JavaScript. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in the admin submissions view that will execute whenever an administrator accesses the submissions list.
The Form Maker WordPress plugin versions up to 1.15.35 contain a Stored XSS vulnerability in hidden field values due to improper output escaping. Unauthenticated attackers can inject malicious scripts that execute when administrators view the submissions list.
تحتوي إضافة Form Maker على ثغرة Stored XSS حيث يتم فك تشفير كيانات HTML للقيم المدخلة من المستخدمين دون الهروب اللاحق قبل العرض في قائمة الإرسالات. يمكن للمهاجمين غير المصرح لهم حقن رموز JavaScript تعسفية تُنفذ عند وصول المسؤولين إلى قائمة الإرسالات.
The Form Maker WordPress plugin versions up to 1.15.35 contain a Stored XSS vulnerability in hidden field values due to improper output escaping. Unauthenticated attackers can inject malicious scripts that execute when administrators view the submissions list.
Update Form Maker plugin to version 1.15.36 or later immediately. Implement proper output escaping using wp_kses_post() or esc_html() for all user-supplied data before display. Review and audit all form submissions for malicious payloads. Consider using Web Application Firewall rules to detect XSS patterns.
قم بتحديث إضافة Form Maker إلى الإصدار 1.15.36 أو أحدث فوراً. طبق الهروب الصحيح للمخرجات باستخدام wp_kses_post() أو esc_html() لجميع البيانات المدخلة من المستخدمين قبل العرض. راجع وتدقق جميع إرسالات النماذج بحثاً عن الحمولات الضارة. فكر في استخدام قواعد جدار حماية تطبيقات الويب للكشف عن أنماط XSS.