The Gutenverse plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 's' parameter in all versions up to, and including, 3.4.6 due to insufficient input sanitization and output escaping. Specifically, the `render_content()` method in `class-search-result-title.php` outputs the value of `get_query_var('s')` directly into the page HTML without applying `esc_html()` or any other escaping function. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages via a crafted URL that execute if a user clicks the link, provided the `gutenverse/search-result-title` block is present on the site's search results template.
The Gutenverse WordPress plugin versions up to 3.4.6 contain a Reflected Cross-Site Scripting vulnerability in the search results functionality due to insufficient input sanitization. Unauthenticated attackers can inject malicious scripts through crafted URLs that execute when users click the link if the vulnerable block is present.
تحتوي إضافة Gutenverse على ثغرة في معالجة معامل البحث حيث يتم إخراج القيمة مباشرة دون تطبيق دوال الهروب الأمنية. يمكن للمهاجمين استغلال هذه الثغرة لحقن وتنفيذ أكواد JavaScript ضارة في متصفحات المستخدمين.
ثغرة Reflected Cross-Site Scripting في إضافة Gutenverse لـ WordPress تصل إلى الإصدار 3.4.6 بسبب عدم تطبيق التحقق الكافي من المدخلات. يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ضارة عبر عناوين URL مصممة خصيصاً تُنفذ عند النقر على الرابط.
Update the Gutenverse plugin to version 3.4.7 or later immediately. If immediate patching is not possible, disable the gutenverse/search-result-title block on search results templates and implement Web Application Firewall (WAF) rules to filter malicious search parameters containing script tags.
قم بتحديث إضافة Gutenverse إلى الإصدار 3.4.7 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل كتلة gutenverse/search-result-title على صفحات نتائج البحث وطبق قواعد جدار حماية تطبيقات الويب لتصفية معاملات البحث الضارة.