The HT Contact Form – Drag & Drop Form Builder for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'file_upload' parameter in all versions up to, and including, 2.8.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. Exploitation requires the 'Store Submissions' setting to be enabled, as this controls whether unsanitized field values are persisted to the database and subsequently rendered via dangerouslySetInnerHTML in the admin entry viewer.
The HT Contact Form WordPress plugin versions up to 2.8.2 contains a Stored Cross-Site Scripting vulnerability in the file_upload parameter that allows unauthenticated attackers to inject malicious scripts. The vulnerability requires the 'Store Submissions' setting to be enabled and affects sites that display stored form submissions without proper sanitization.
تحتوي إضافة HT Contact Form للووردبريس على ثغرة XSS مخزنة في معامل تحميل الملفات تسمح بحقن برامج نصية عشوائية. الثغرة تؤثر على جميع الإصدارات حتى 2.8.2 وتتطلب تفعيل إعداد حفظ الطلبات لاستغلالها. يمكن للمهاجمين غير المصرح لهم تنفيذ برامج نصية ضارة عند وصول المستخدمين إلى الصفحات المصابة.
ثغرة XSS المخزنة في إضافة HT Contact Form لـ WordPress تصل إلى الإصدار 2.8.2 تسمح للمهاجمين غير المصرح لهم بحقن برامج نصية ضارة عبر معامل تحميل الملفات. تتطلب الثغرة تفعيل إعداد 'حفظ الطلبات' وتؤثر على المواقع التي تعرض الطلبات المخزنة دون تنقية مناسبة.
Update the HT Contact Form plugin to version 2.8.3 or later immediately. Implement Content Security Policy headers to mitigate XSS impact. Disable the 'Store Submissions' feature if not required. Review and sanitize all stored form submissions in the database. Conduct security audit of form handling code.
قم بتحديث إضافة HT Contact Form إلى الإصدار 2.8.3 أو أحدث فوراً. طبق رؤوس سياسة أمان المحتوى للتخفيف من تأثير XSS. عطل ميزة 'حفظ الطلبات' إذا لم تكن مطلوبة. راجع وقم بتنقية جميع طلبات النماذج المخزنة في قاعدة البيانات. أجرِ تدقيق أمني لكود معالجة النماذج.