The Extra Settings for RocketChat plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'rocketchat' shortcode's 'title' attribute in versions up to, and including, 0.1. This is due to insufficient input sanitization and output escaping in the rxstg_shortcode() function, which concatenates the user-supplied 'title' attribute directly into HTML output. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Extra Settings for RocketChat WordPress plugin versions up to 0.1 contains a Stored XSS vulnerability in the 'rocketchat' shortcode's 'title' attribute due to insufficient input sanitization. Authenticated contributors can inject malicious scripts that execute for all users accessing affected pages.
تحتوي دالة rxstg_shortcode() على ثغرة في معالجة سمة 'title' حيث يتم دمج مدخلات المستخدم مباشرة في مخرجات HTML دون تنظيف أو هروب كافٍ. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن كود JavaScript ضار سيتم تنفيذه في متصفحات جميع الزوار.
إضافة Extra Settings for RocketChat لـ WordPress في الإصدارات حتى 0.1 تحتوي على ثغرة XSS مخزنة في سمة 'title' الخاصة بـ shortcode 'rocketchat' بسبب عدم كفاية تنظيف المدخلات. يمكن للمساهمين المصرحين بحقول إدارية بحقن برامج نصية ضارة تنفذ لجميع المستخدمين الذين يصلون إلى الصفحات المتأثرة.
Update the Extra Settings for RocketChat plugin to version 0.2 or later immediately. Implement strict input validation and output escaping for all shortcode attributes using WordPress sanitization functions (sanitize_text_field, wp_kses_post). Restrict shortcode usage to trusted administrators only. Audit all existing pages using the rocketchat shortcode for injected content.
قم بتحديث إضافة Extra Settings for RocketChat إلى الإصدار 0.2 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والهروب من المخرجات لجميع سمات shortcode باستخدام وظائف تنظيف WordPress (sanitize_text_field, wp_kses_post). قيد استخدام shortcode للمسؤولين الموثوقين فقط. قم بفحص جميع الصفحات الموجودة التي تستخدم shortcode rocketchat للتحقق من المحتوى المحقون.