The Mutual Funds Data plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'title' shortcode attribute in versions up to, and including, 1.2.1. This is due to insufficient input sanitization and output escaping on the user supplied 'title' attribute in the mfd_shortcode() function, which is concatenated directly into the HTML output within a <caption> element. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Mutual Funds Data WordPress plugin versions up to 1.2.1 contains a Stored Cross-Site Scripting vulnerability in the 'title' shortcode attribute due to insufficient input sanitization. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
تحتوي ثغرة التطبيق على نقص في تنظيف مدخلات المستخدم وعدم الهروب من المخرجات في دالة mfd_shortcode()، حيث يتم دمج خاصية 'title' مباشرة في عنصر HTML caption. يمكن للمهاجمين المصرحين بمستوى المساهم أو أعلى حقن برامج نصية تعسفية تُنفذ في سياق متصفح المستخدم.
يحتوي مكون Mutual Funds Data لـ WordPress في الإصدارات حتى 1.2.1 على ثغرة Cross-Site Scripting مخزنة في خاصية 'title' shortcode بسبب عدم كفاية تنظيف المدخلات. يمكن للمهاجمين المصرحين على مستوى المساهم وما فوقه حقن برامج نصية ضارة تُنفذ عند عرض الصفحات المتأثرة.
Update the Mutual Funds Data plugin to version 1.2.2 or later immediately. If immediate patching is not possible, disable the plugin and remove all instances of the mfd_shortcode from published pages. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in shortcode attributes.
قم بتحديث مكون Mutual Funds Data إلى الإصدار 1.2.2 أو أحدث على الفور. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون وإزالة جميع حالات mfd_shortcode من الصفحات المنشورة. قم بتطبيق قواعد جدار حماية تطبيقات الويب للكشف عن حقن XSS وحجبها.