The Sheets2Table plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'titles' shortcode attribute in the [sheets2table-render-table] shortcode in all versions up to and including 0.4.1. This is due to insufficient input sanitization and output escaping. Specifically, the 'titles' attribute value from the shortcode is passed through S2T_Functions::trim_array_values() (which only trims whitespace) and then echoed directly into HTML via `echo $header` inside a <th> tag in the display_table_header() function without any escaping such as esc_html(). This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Sheets2Table WordPress plugin versions up to 0.4.1 contain a Stored Cross-Site Scripting vulnerability in the 'titles' shortcode attribute that allows authenticated contributors to inject malicious scripts. Attackers can execute arbitrary JavaScript when users view pages containing the vulnerable shortcode.
ثغرة Stored XSS في إضافة Sheets2Table للـ WordPress تسمح للمستخدمين المصرحين بمستوى المساهم وما فوق بحقن نصوص برمجية ضارة عبر سمة 'titles' في الاختصار [sheets2table-render-table]. الثغرة ناتجة عن عدم كفاية تنظيف المدخلات والترميز الآمن للمخرجات، حيث يتم تمرير قيمة السمة مباشرة إلى HTML دون استخدام دوال الترميز الآمنة.
The Sheets2Table WordPress plugin versions up to 0.4.1 contain a Stored Cross-Site Scripting vulnerability in the 'titles' shortcode attribute that allows authenticated contributors to inject malicious scripts. Attackers can execute arbitrary JavaScript when users view pages containing the vulnerable shortcode.
Update the Sheets2Table plugin to version 0.4.2 or later immediately. Implement strict input validation and output escaping using WordPress functions like esc_html() for all shortcode attributes. Restrict shortcode usage to trusted administrators only and audit existing pages for malicious content.
قم بتحديث إضافة Sheets2Table إلى الإصدار 0.4.2 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والترميز الآمن للمخرجات باستخدام دوال WordPress مثل esc_html() لجميع سمات الاختصار. قيد استخدام الاختصارات للمسؤولين الموثوقين فقط وتدقيق الصفحات الموجودة للكشف عن المحتوى الضار.