The Paypal Shortcode plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'amount' and 'name' shortcode attributes in all versions up to, and including, 0.3. This is due to insufficient input sanitization and output escaping on user-supplied shortcode attributes. The swer_paypal_shortcode() function extracts shortcode attributes using extract() and shortcode_atts() at line 89, then directly concatenates the $name and $amount values into HTML input element value attributes at lines 105-106 without applying esc_attr() or any other escaping function. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The PayPal Shortcode WordPress plugin contains a Stored Cross-Site Scripting vulnerability in shortcode attributes that allows authenticated contributors to inject malicious scripts. Attackers can exploit insufficient input sanitization in the 'amount' and 'name' parameters to execute arbitrary JavaScript when users view affected pages.
ثغرة XSS مخزنة في إضافة PayPal Shortcode لـ WordPress تؤثر على جميع الإصدارات حتى 0.3. تحدث الثغرة بسبب عدم كفاية تنظيف المدخلات والهروب من المخرجات في معاملات shortcode 'amount' و'name'. يمكن للمهاجمين المصرح لهم على مستوى المساهم وما فوق حقن برامج نصية عشوائية ستنفذ عند وصول المستخدمين إلى الصفحات المتأثرة.
ثغرة XSS مخزنة في إضافة PayPal Shortcode لـ WordPress تسمح للمساهمين المصرح لهم بحقن برامج نصية ضارة. يمكن للمهاجمين استغلال عدم كفاية تنظيف المدخلات في معاملات 'amount' و'name' لتنفيذ JavaScript عشوائي عند عرض الصفحات المتأثرة.
Update the PayPal Shortcode plugin to version 0.4 or later immediately. Apply esc_attr() function to all shortcode attribute outputs in HTML context. Implement strict input validation and sanitization using sanitize_text_field() for user-supplied shortcode parameters. Restrict shortcode usage to trusted administrators only through capability checks.
قم بتحديث إضافة PayPal Shortcode إلى الإصدار 0.4 أو أحدث فوراً. طبق دالة esc_attr() على جميع مخرجات معاملات shortcode في سياق HTML. قم بتنفيذ التحقق الصارم من المدخلات والتنظيف باستخدام sanitize_text_field() لمعاملات shortcode المزودة من قبل المستخدم. قيد استخدام shortcode للمسؤولين الموثوقين فقط من خلال فحوصات القدرات.