The Categories Images plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to, and including, 3.3.1, via the 'z_taxonomy_image' shortcode. This is due to the shortcode rendering path passing attacker-controlled class input into a fallback image builder that concatenates HTML attributes without proper escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts that execute when users interact with the injected frontend page via the 'class' shortcode attribute.
The Categories Images WordPress plugin versions up to 3.3.1 contains a Stored Cross-Site Scripting vulnerability in the 'z_taxonomy_image' shortcode that allows authenticated contributors to inject malicious scripts. Attackers can exploit improper HTML escaping in the class attribute to execute arbitrary JavaScript when users view affected pages.
تحتوي إضافة فئات الصور على ثغرة تخزين XSS في اختصار z_taxonomy_image حيث لا يتم الهروب من مدخلات سمة الفئة بشكل صحيح. يمكن للمستخدمين المصرح لهم بمستوى المساهم أو أعلى حقن برامج نصية عشوائية تُنفذ عند تفاعل المستخدمين مع الصفحات المتأثرة.
فئات الصور لـ WordPress حتى الإصدار 3.3.1 تحتوي على ثغرة تخزين XSS في اختصار 'z_taxonomy_image' تسمح للمساهمين المصرح لهم بحقن برامج نصية ضارة. يمكن للمهاجمين استغلال عدم الهروب الصحيح من HTML في سمة الفئة لتنفيذ JavaScript عشوائي عند عرض الصفحات المتأثرة.
Update the Categories Images plugin to version 3.3.2 or later immediately. If immediate patching is not possible, restrict Contributor-level access to trusted users only and disable the z_taxonomy_image shortcode until patched. Implement Web Application Firewall rules to detect and block XSS payloads in shortcode attributes.
قم بتحديث إضافة فئات الصور إلى الإصدار 3.3.2 أو أحدث على الفور. إذا لم يكن التصحيح الفوري ممكناً، قيد وصول مستوى المساهم للمستخدمين الموثوقين فقط وعطل اختصار z_taxonomy_image حتى يتم تصحيحه. طبق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها في سمات الاختصار.