The Contact List plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the '_cl_map_iframe' parameter in all versions up to, and including, 3.0.18. This is due to insufficient input sanitization and output escaping when handling the Google Maps iframe custom field. The saveCustomFields() function in class-contact-list-custom-fields.php uses a regex to extract <iframe> tags from user input but does not validate or sanitize the iframe's attributes, allowing event handlers like 'onload' to be included. The extracted iframe HTML is stored via update_post_meta() and later rendered on the front-end in class-cl-public-card.php without any escaping or wp_kses filtering. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Contact List WordPress plugin versions up to 3.0.18 contains a Stored Cross-Site Scripting vulnerability in the Google Maps iframe custom field that allows authenticated attackers to inject malicious scripts. Attackers with Contributor-level access can exploit insufficient input sanitization to execute arbitrary JavaScript when users view affected pages.
ثغرة XSS مخزنة في إضافة Contact List للـ WordPress تؤثر على جميع الإصدارات حتى 3.0.18 عبر معامل '_cl_map_iframe' المستخدم لحقل خريطة Google المخصص. تحدث الثغرة بسبب عدم كفاية تنظيف المدخلات والتحقق من صحة سمات iframe، مما يسمح بإدراج معالجات أحداث ضارة مثل 'onload'. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى تنفيذ أكواد JavaScript عشوائية عند وصول المستخدمين للصفحات المصابة.
The Contact List WordPress plugin versions up to 3.0.18 contains a Stored Cross-Site Scripting vulnerability in the Google Maps iframe custom field that allows authenticated attackers to inject malicious scripts. Attackers with Contributor-level access can exploit insufficient input sanitization to execute arbitrary JavaScript when users view affected pages.
Update the Contact List plugin to version 3.0.19 or later immediately. Implement strict input validation and sanitization for the '_cl_map_iframe' parameter. Apply WordPress security functions like wp_kses_post() for output escaping. Restrict Contributor-level permissions to trusted users only. Conduct security audit of custom field handling in the plugin.
قم بتحديث إضافة Contact List إلى الإصدار 3.0.19 أو أحدث فوراً. طبق التحقق الصارم من صحة المدخلات وتنظيفها لمعامل '_cl_map_iframe'. استخدم وظائف أمان WordPress مثل wp_kses_post() لتجنب الإخراج. قيد صلاحيات مستوى المساهم للمستخدمين الموثوقين فقط. أجرِ تدقيق أمني لمعالجة الحقول المخصصة في الإضافة.