PluXml CMS is vulnerable to Stored XSS in Static Pages editing functionality. Attacker with editing privileges can inject arbitrary HTML and JS into website, which will be rendered/executed when visiting edited page.
The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.
PluXml CMS contains a Stored XSS vulnerability in Static Pages editing functionality that allows authenticated users with editing privileges to inject arbitrary HTML and JavaScript code. The injected malicious code executes when other users visit the compromised pages, potentially leading to session hijacking, credential theft, or malware distribution.
ثغرة XSS مخزنة في نظام إدارة محتوى PluXml تسمح للمستخدمين ذوي صلاحيات التحرير بحقن أكواد HTML و JavaScript ضارة في الصفحات الثابتة. عند زيارة أي مستخدم للصفحة المصابة، يتم تنفيذ الكود الضار في متصفحه، مما قد يؤدي إلى سرقة الجلسات أو بيانات المستخدم. تم اختبار الإصدارات 5.8.21 و 5.9.0-rc7 وتأكيد إصابتهما، بينما قد تكون نسخ أخرى عرضة للخطر أيضاً.
نظام إدارة المحتوى PluXml يحتوي على ثغرة XSS مخزنة في وظيفة تحرير الصفحات الثابتة تسمح للمستخدمين المصرح لهم بحقن أكواد HTML و JavaScript عشوائية. يتم تنفيذ الأكواد الضارة المحقونة عند زيارة المستخدمين الآخرين للصفحات المخترقة.
Update PluXml CMS to a patched version beyond 5.9.0-rc7 when available. Implement strict input validation and output encoding for all user-supplied content in page editing functionality. Apply Content Security Policy (CSP) headers to prevent inline script execution. Restrict page editing privileges to trusted administrators only. Conduct security code review of the Static Pages module.
قم بتحديث نظام PluXml CMS إلى إصدار مصحح بعد 5.9.0-rc7 عند توفره. طبق التحقق الصارم من المدخلات وترميز المخرجات لجميع محتويات المستخدم في وظيفة تحرير الصفحات. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. قيد امتيازات تحرير الصفحات للمسؤولين الموثوقين فقط. أجرِ مراجعة أمان الأكواد لوحدة الصفحات الثابتة.