The Page Builder Gutenberg Blocks – CoBlocks plugin for WordPress is vulnerable to Stored Cross-Site Scripting via external iCal feed data in all versions up to, and including, 3.1.16 due to insufficient output escaping of event titles, descriptions, and locations fetched from external iCal feeds in the Events block rendering function. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The CoBlocks WordPress plugin is vulnerable to Stored XSS through improperly escaped iCal feed data in the Events block, allowing authenticated contributors to inject malicious scripts. This vulnerability affects all versions up to 3.1.16 and executes when users view compromised pages.
يؤثر هذا الضعف على مكون CoBlocks الشهير المستخدم في مواقع WordPress السعودية التي تعتمد على تغذيات iCal الخارجية لعرض الأحداث. يمكن للمهاجمين ذوي صلاحيات المساهم استغلال عدم تصفية المخرجات لحقن كود JavaScript ضار يُنفذ في متصفحات الزوار.
يحتوي مكون CoBlocks لـ WordPress على ثغرة XSS مخزنة من خلال بيانات تغذية iCal غير المحمية بشكل صحيح في كتلة الأحداث. يمكن للمساهمين المصرح لهم بحقن برامج نصية ضارة تُنفذ عند زيارة الصفحات المتأثرة.
Update CoBlocks plugin to version 3.1.17 or later immediately. Review and audit all pages using the Events block for suspicious content. Restrict Contributor-level access to trusted users only. Implement Web Application Firewall rules to detect and block XSS payloads. Monitor iCal feed sources for unauthorized modifications.
قم بتحديث مكون CoBlocks إلى الإصدار 3.1.17 أو أحدث فوراً. راجع جميع الصفحات التي تستخدم كتلة الأحداث بحثاً عن محتوى مريب. قيد وصول المساهمين للمستخدمين الموثوقين فقط. طبق قواعد جدار الحماية لكشف حقن XSS. راقب مصادر تغذية iCal للتعديلات غير المصرح بها.