The Zypento Blocks plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Table of Contents block in all versions up to, and including, 1.0.6. This is due to the front-end TOC rendering script reading heading text via `innerText` and inserting it into the page using `innerHTML` without proper sanitization. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Zypento Blocks WordPress plugin versions up to 1.0.6 contains a Stored Cross-Site Scripting vulnerability in the Table of Contents block that allows authenticated authors to inject malicious scripts. These scripts execute when users view affected pages, potentially compromising user sessions and data.
يقرأ سكريبت التصيير الأمامي لمكون جدول المحتويات نص العناوين عبر innerText ويدرجها باستخدام innerHTML بدون تنظيف مناسب. يسمح هذا للمستخدمين المصرحين برفع المحتوى بحقن برامج نصية عشوائية تنفذ عند وصول المستخدمين للصفحات المصابة.
ثغرة Stored Cross-Site Scripting في مكون Zypento Blocks لـ WordPress تسمح للمستخدمين المصرحين برفع محتوى بحقن برامج نصية ضارة. تنفذ هذه البرامج عند زيارة الصفحات المصابة مما قد يؤثر على أمان جلسات المستخدمين.
Update the Zypento Blocks plugin to version 1.0.7 or later immediately. If immediate patching is not possible, restrict Author-level access to trusted users only and implement Web Application Firewall rules to detect and block XSS payloads in page content.
قم بتحديث مكون Zypento Blocks إلى الإصدار 1.0.7 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قيد صلاحيات المؤلف للمستخدمين الموثوقين فقط وطبق قواعد جدار حماية تطبيقات الويب للكشف عن حقن XSS.