The WPBakery Page Builder Addons by Livemesh plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `lvca_admin_ajax` AJAX action in all versions up to, and including, 3.9.4 due to missing authorization checks and insufficient input sanitization. The AJAX handler verifies a nonce but does not check user capabilities. This makes it possible for authenticated attackers with Subscriber-level access and above to modify plugin settings and inject malicious scripts that execute when administrators access the plugin settings page or when any user visits the frontend.
WPBakery Page Builder Addons plugin contains a Stored XSS vulnerability in its AJAX handler that allows authenticated subscribers to inject malicious scripts by bypassing capability checks. The vulnerability affects all versions up to 3.9.4 and executes when administrators or users access affected pages.
ثغرة Stored Cross-Site Scripting في إضافة WPBakery Page Builder Addons تسمح للمستخدمين المصرحين بمستوى المشترك وأعلى بحقن نصوص برمجية ضارة عبر معالج AJAX. تحدث الثغرة بسبب عدم التحقق من صلاحيات المستخدم وعدم كفاية تنظيف المدخلات، مما يؤدي إلى تنفيذ الكود الضار عند وصول المسؤولين أو المستخدمين للصفحات المتأثرة.
إضافة WPBakery Page Builder Addons تحتوي على ثغرة Stored XSS في معالج AJAX تسمح للمشتركين المصرحين بحقن نصوص برمجية ضارة بتجاوز فحوصات الصلاحيات. تؤثر الثغرة على جميع الإصدارات حتى 3.9.4 وتنفذ عند وصول المسؤولين أو المستخدمين للصفحات المتأثرة.
Update WPBakery Page Builder Addons plugin to version 3.9.5 or later immediately. Disable the plugin if immediate update is not possible. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Review user roles and remove unnecessary Subscriber-level access. Monitor WordPress admin activity logs for suspicious AJAX requests to lvca_admin_ajax action.
قم بتحديث إضافة WPBakery Page Builder Addons إلى الإصدار 3.9.5 أو أحدث فوراً. عطّل الإضافة إذا لم يكن التحديث الفوري ممكناً. طبّق قواعد جدار حماية تطبيقات الويب لكشف وحجب حمولات XSS. راجع أدوار المستخدمين وأزل الوصول غير الضروري على مستوى المشترك. راقب سجلات نشاط WordPress الإدارية للطلبات المريبة إلى إجراء lvca_admin_ajax.