The WP Docs plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'wpdocs_options[icon_size]' parameter in all versions up to, and including, 2.2.9 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The WP Docs WordPress plugin versions up to 2.2.9 contain a stored XSS vulnerability in the icon_size parameter that allows authenticated subscribers to inject malicious scripts. These scripts execute when users access affected pages, potentially compromising website integrity and user data.
تعاني ثغرة CVE-2026-3878 من عدم كفاية تنظيف المدخلات والتحقق من المخرجات في معامل wpdocs_options[icon_size] بمكون WP Docs. يمكن للمستخدمين المصرح لهم على مستوى المشترك وما فوقه حقن برامج نصية عشوائية تُخزن في قاعدة البيانات وتُنفذ عند وصول المستخدمين إلى الصفحات المتأثرة.
يحتوي مكون WP Docs لـ WordPress في الإصدارات حتى 2.2.9 على ثغرة XSS مخزنة في معامل حجم الرمز تسمح للمشتركين المصرح لهم بحقن برامج نصية ضارة. تُنفذ هذه البرامج النصية عند وصول المستخدمين إلى الصفحات المتأثرة، مما قد يؤثر على سلامة الموقع وبيانات المستخدم.
Update WP Docs plugin to version 2.3.0 or later immediately. If immediate update is not possible, disable the plugin and remove it from production environments. Implement Web Application Firewall (WAF) rules to filter malicious script injections targeting the wpdocs_options parameter. Review user access logs for suspicious activity and audit all pages for injected scripts.
قم بتحديث مكون WP Docs إلى الإصدار 2.3.0 أو أحدث على الفور. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون وإزالته من بيئات الإنتاج. طبّق قواعد جدار حماية تطبيقات الويب (WAF) لتصفية حقن البرامج النصية الضارة الموجهة لمعامل wpdocs_options. راجع سجلات الوصول للمستخدمين بحثاً عن نشاط مريب وتدقيق جميع الصفحات للبحث عن برامج نصية مُدرجة.