Vvveb before 1.0.8.2 contains an unauthenticated reflected cross-site scripting vulnerability in the visual editor preview renderer that allows attackers to execute arbitrary JavaScript by manipulating the r query parameter and _component_ajax POST parameter. Attackers can craft a malicious link or auto-submitted form that causes victims to execute attacker-controlled JavaScript in the context of the Vvveb origin, as the gating function isEditor() performs no session, role, or token verification and the view handler injects raw HTML POST body content without sanitization.
Vvveb before 1.0.8.2 contains an unauthenticated reflected XSS vulnerability in the visual editor preview renderer via the r query parameter and _component_ajax POST parameter. Attackers can execute arbitrary JavaScript without authentication by crafting malicious links or forms that bypass the unsanitized isEditor() gating function.
تحتوي نسخ Vvveb السابقة للإصدار 1.0.8.2 على ثغرة انعكاس XSS غير مصرح بها في معاين محرر الويب البصري. تسمح الثغرة للمهاجمين بتنفيذ كود JavaScript عشوائي من خلال معاملات الاستعلام والمنشورات المعدلة دون الحاجة إلى المصادقة. تحدث المشكلة لأن وظيفة البوابة isEditor() لا تتحقق من الجلسة أو الأدوار أو الرموز، وتقوم معالج العرض بحقن محتوى جسم المنشور الخام دون تعقيم.
إصدارات Vvveb السابقة للإصدار 1.0.8.2 تحتوي على ثغرة XSS غير مصرح بها في معاين محرر الويب البصري عبر معاملات الاستعلام والمنشورات. يمكن للمهاجمين تنفيذ كود JavaScript عشوائي دون المصادقة من خلال روابط أو نماذج ضارة تتجاوز وظيفة البوابة غير المعقمة.
Upgrade Vvveb to version 1.0.8.2 or later immediately. Implement input validation and output encoding for all user-supplied parameters, particularly the r query parameter and _component_ajax POST parameter. Add proper authentication and authorization checks to the isEditor() function including session verification and CSRF token validation. Apply Content Security Policy (CSP) headers to prevent inline script execution. Sanitize all HTML content before rendering in the preview renderer.
قم بترقية Vvveb إلى الإصدار 1.0.8.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات والترميز الناتج لجميع المعاملات المزودة من قبل المستخدم، خاصة معامل الاستعلام r ومعامل المنشور _component_ajax. أضف فحوصات المصادقة والتفويض المناسبة لوظيفة isEditor() بما في ذلك التحقق من الجلسة والتحقق من رمز CSRF. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. قم بتعقيم جميع محتوى HTML قبل العرض في معاين المعاينة.