The Task Manager plugin for WordPress is vulnerable to arbitrary shortcode execution via the 'search' AJAX action in all versions up to, and including, 3.0.2. This is due to missing capability checks in the callback_search() function and insufficient input validation that allows shortcode syntax (square brackets) to pass through sanitize_text_field() and be concatenated into a do_shortcode() call. This makes it possible for authenticated attackers, with Subscriber-level access and above, to execute arbitrary shortcodes on the site by injecting shortcode syntax into parameters like 'task_id', 'point_id', 'categories_id', or 'term'.
The Task Manager WordPress plugin versions up to 3.0.2 contain an arbitrary shortcode execution vulnerability in the search AJAX action due to missing capability checks and insufficient input validation. Authenticated attackers with Subscriber-level access can inject malicious shortcode syntax to execute arbitrary code on affected WordPress sites.
ثغرة في إضافة Task Manager لـ WordPress تسمح للمستخدمين المصرحين بمستوى المشترك فما فوق بتنفيذ shortcodes عشوائية من خلال معامل البحث في إجراء AJAX. تحدث الثغرة بسبب غياب فحوصات القدرات والتحقق غير الكافي من المدخلات، مما يسمح بمرور بناء جملة shortcode عبر دالة sanitize_text_field() وتنفيذها عبر do_shortcode().
Task Manager WordPress plugin versions up to 3.0.2 contain an arbitrary shortcode execution vulnerability in the search AJAX action due to missing capability checks and insufficient input validation. Authenticated attackers with Subscriber-level access can inject malicious shortcode syntax to execute arbitrary code on affected WordPress sites.
Update the Task Manager WordPress plugin to version 3.0.3 or later immediately. Implement capability checks in the callback_search() function to restrict access to authorized users only. Apply strict input validation and sanitization to prevent shortcode syntax injection. Consider using sanitize_textarea_field() or strip_tags() instead of sanitize_text_field(). Disable the plugin if an update is not available and use alternative task management solutions.
قم بتحديث إضافة Task Manager لـ WordPress إلى الإصدار 3.0.3 أو أحدث فوراً. طبق فحوصات القدرات في دالة callback_search() لتقييد الوصول للمستخدمين المصرحين فقط. طبق التحقق الصارم من المدخلات والتطهير لمنع حقن بناء جملة shortcode. استخدم sanitize_textarea_field() أو strip_tags() بدلاً من sanitize_text_field(). عطل الإضافة إذا لم يكن التحديث متاحاً واستخدم حلول إدارة المهام البديلة.