The Simple SEO Slideshow plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Shortcode Attributes in all versions up to, and including, 1.2.8 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. WordPress KSES does not strip malicious shortcode attribute values on post save, allowing contributor-level users to persist payloads that execute for any visitor, including administrators reviewing the post.
The Simple SEO Slideshow WordPress plugin versions up to 1.2.8 contains a stored XSS vulnerability in shortcode attributes that allows authenticated contributors to inject malicious scripts. These scripts execute for all users including administrators who view the affected pages.
تحتوي إضافة Simple SEO Slideshow للـ WordPress على ثغرة XSS مخزنة في خصائص الـ Shortcode تسمح للمستخدمين المصرح لهم على مستوى المساهم بحقن برامج نصية ضارة. لا تقوم وظيفة WordPress KSES بتجريد قيم خصائص الـ Shortcode الضارة عند حفظ المنشور، مما يسمح بتنفيذ الحمولات الضارة لأي زائر.
The Simple SEO Slideshow WordPress plugin versions up to 1.2.8 contains a stored XSS vulnerability in shortcode attributes that allows authenticated contributors to inject malicious scripts. These scripts execute for all users including administrators who view the affected pages.
Update the Simple SEO Slideshow plugin to version 1.2.9 or later immediately. If immediate patching is not possible, disable the plugin and remove it from all WordPress installations. Review all posts and pages created by contributor-level users for suspicious shortcode attributes and remove any injected content.
قم بتحديث إضافة Simple SEO Slideshow إلى الإصدار 1.2.9 أو أحدث على الفور. إذا لم يكن التحديث ممكناً، قم بتعطيل الإضافة وإزالتها من جميع تثبيتات WordPress. راجع جميع المنشورات والصفحات التي أنشأها مستخدمو المساهم بحثاً عن خصائص shortcode المريبة وأزل أي محتوى مُدرج.