The Livemesh SiteOrigin Widgets plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `lsow_admin_ajax` AJAX action in all versions up to, and including, 3.9.2 due to missing authorization checks and insufficient input sanitization. The AJAX handler verifies a nonce but does not check user capabilities. This makes it possible for authenticated attackers with Subscriber-level access and above to modify plugin settings and inject malicious scripts that execute when administrators access the plugin settings page or when any user visits the frontend.
The Livemesh SiteOrigin Widgets WordPress plugin versions up to 3.9.2 contains a Stored XSS vulnerability in the lsow_admin_ajax AJAX action due to missing authorization checks and insufficient input sanitization. Authenticated subscribers can inject malicious scripts that execute for administrators and frontend users.
تحتوي إضافة Livemesh SiteOrigin Widgets للإصدارات حتى 3.9.2 على ثغرة Stored XSS في معالج AJAX lsow_admin_ajax حيث يتحقق من nonce لكن لا يفحص صلاحيات المستخدم. يمكن للمستخدمين المصرحين برتبة Subscriber وما فوق تعديل إعدادات الإضافة وحقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين لصفحة الإعدادات أو عند زيارة أي مستخدم للموقع.
The Livemesh SiteOrigin Widgets WordPress plugin versions up to 3.9.2 contains a Stored XSS vulnerability in the lsow_admin_ajax AJAX action due to missing authorization checks and insufficient input sanitization. Authenticated subscribers can inject malicious scripts that execute for administrators and frontend users.
Update the Livemesh SiteOrigin Widgets plugin to version 3.9.3 or later immediately. Implement capability checks in the lsow_admin_ajax AJAX handler to restrict access to authorized administrators only. Apply input sanitization and output escaping to all user-supplied data. Review and audit all AJAX handlers for similar authorization vulnerabilities.
قم بتحديث إضافة Livemesh SiteOrigin Widgets إلى الإصدار 3.9.3 أو أحدث فوراً. طبّق فحوصات الصلاحيات في معالج AJAX lsow_admin_ajax لتقييد الوصول للمسؤولين المصرحين فقط. طبّق تنظيف المدخلات والتحقق من المخرجات على جميع البيانات المدخلة من المستخدمين. راجع وتدقيق جميع معالجات AJAX للتحقق من ثغرات التفويض المماثلة.