The LifePress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'n' parameter of the lp_update_mds AJAX action in all versions up to, and including, 2.2.2. This is due to the `wp_ajax_nopriv_lp_update_mds` action being registered without nonce verification or capability checks, combined with insufficient input sanitization and output escaping when the series name is rendered in the admin settings page. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The LifePress WordPress plugin versions up to 2.2.2 contain a stored XSS vulnerability in the lp_update_mds AJAX action due to missing nonce verification and insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when admin users access affected pages.
تحتوي إضافة LifePress على ثغرة XSS مخزنة في إجراء AJAX يسمى lp_update_mds الذي يفتقر إلى التحقق من nonce والتحقق من القدرات. يمكن للمهاجمين غير المصرح لهم تمرير معاملات ضارة عبر معامل 'n' دون تنظيف كافٍ، مما يؤدي إلى تنفيذ الكود الضار عند وصول المسؤولين.
ثغرة XSS مخزنة في إضافة LifePress لـ WordPress تصل إلى الإصدار 2.2.2 بسبب غياب التحقق من nonce وعدم كفاية تنظيف المدخلات. يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ضارة تنفذ عند وصول مسؤولي النظام للصفحات المتأثرة.
Update LifePress plugin to version 2.2.3 or later immediately. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads. Review and audit all WordPress plugins for similar AJAX action vulnerabilities. Disable the plugin if immediate patching is not possible.
قم بتحديث إضافة LifePress إلى الإصدار 2.2.3 أو أحدث فوراً. طبق قواعد جدار حماية تطبيقات الويب لكشف وحجب حمولات XSS. راجع جميع إضافات WordPress للتحقق من ثغرات AJAX مماثلة. عطل الإضافة إذا لم يكن التحديث الفوري ممكناً.