The Zingaya Click-to-Call plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'email', 'first_name', 'last_name', and 'phone' parameters on the plugin's sign-up admin page in all versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.
The Zingaya Click-to-Call WordPress plugin versions up to 1.0 contains reflected XSS vulnerabilities in sign-up parameters due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when users click crafted links.
تحتوي إضافة Zingaya Click-to-Call لـ WordPress على ثغرات Reflected XSS في صفحة التسجيل الإدارية عبر معاملات البريد الإلكتروني والاسم الأول والاسم الأخير والهاتف. يمكن للمهاجمين غير المصرحين حقن نصوص برمجية عشوائية تُنفذ عند نقر المستخدمين على روابط مصنوعة بعناية.
The Zingaya Click-to-Call WordPress plugin versions up to 1.0 contains reflected XSS vulnerabilities in sign-up parameters due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when users click crafted links.
Update the Zingaya Click-to-Call plugin to version 1.1 or later immediately. Implement proper input validation and output escaping for all user-supplied parameters including email, first_name, last_name, and phone fields. Use WordPress sanitization functions like sanitize_text_field() and escaping functions like esc_attr() or esc_html().
قم بتحديث إضافة Zingaya Click-to-Call إلى الإصدار 1.1 أو أحدث فوراً. طبق التحقق الصحيح من المدخلات والهروب من المخرجات لجميع معاملات المستخدم بما في ذلك حقول البريد الإلكتروني والاسم الأول والاسم الأخير والهاتف. استخدم وظائف تنظيف WordPress مثل sanitize_text_field() ووظائف الهروب مثل esc_attr() أو esc_html().