The pdfl.io plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'pdflio' shortcode in all versions up to, and including, 1.0.5. This is due to insufficient input sanitization and output escaping on the 'text' shortcode attribute. The output_shortcode() function directly concatenates the user-supplied $text variable into HTML output without applying esc_html() or any other escaping function. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The pdfl.io WordPress plugin versions up to 1.0.5 contain a Stored Cross-Site Scripting vulnerability in the 'pdflio' shortcode due to insufficient input sanitization. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
ثغرة Stored XSS في إضافة pdfl.io للووردبريس تسمح للمهاجمين المصرح لهم بمستوى المساهم أو أعلى بحقن نصوص ويب ضارة عبر سمة 'text' في اختصار 'pdflio'. الدالة output_shortcode() تدمج متغير $text المزود من قبل المستخدم مباشرة في مخرجات HTML دون تطبيق أي دالة تهريب.
The pdfl.io WordPress plugin versions up to 1.0.5 contain a Stored Cross-Site Scripting vulnerability in the 'pdflio' shortcode due to insufficient input sanitization. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
Update the pdfl.io plugin to version 1.0.6 or later immediately. Implement strict input validation and output escaping using WordPress functions like esc_html() and sanitize_text_field(). Restrict Contributor-level permissions to trusted users only and monitor user activity for suspicious shortcode usage.
قم بتحديث إضافة pdfl.io إلى الإصدار 1.0.6 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والتهريب الآمن للمخرجات باستخدام دوال WordPress مثل esc_html() و sanitize_text_field(). قيد صلاحيات مستوى المساهم للمستخدمين الموثوقين فقط ومراقبة نشاط المستخدم للكشف عن استخدام الاختصارات المريب.