The Power Charts Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'id' parameter of the [pc] shortcode in all versions up to, and including, 0.1.0. This is due to insufficient input sanitization and output escaping on the 'id' shortcode attribute. Specifically, in the pc_shortcode() function, the 'id' attribute is extracted from user-supplied shortcode attributes and directly concatenated into an HTML div element's class attribute without any escaping or sanitization at line 62. The resulting HTML is then passed through html_entity_decode() before being returned, further undermining any potential safety. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Power Charts Lite WordPress plugin versions up to 0.1.0 contain a Stored Cross-Site Scripting vulnerability in the [pc] shortcode's 'id' parameter due to insufficient input sanitization. Authenticated attackers with Contributor access can inject malicious scripts that execute when users view affected pages.
ثغرة Stored Cross-Site Scripting في إضافة Power Charts Lite للووردبريس تؤثر على جميع الإصدارات حتى 0.1.0. تحدث الثغرة في دالة pc_shortcode() حيث يتم دمج معامل 'id' مباشرة في سمة فئة عنصر HTML div دون تصفية أو هروب. يمكن للمهاجمين المصرح لهم على مستوى المساهم حقن نصوص برمجية تعسفية تُنفذ عند وصول المستخدمين إلى الصفحات المصابة.
Power Charts Lite plugin for WordPress up to version 0.1.0 is vulnerable to Stored XSS through the [pc] shortcode 'id' parameter lacking proper input sanitization. Attackers with Contributor-level permissions can inject harmful scripts that run when pages are accessed by users.
Update Power Charts Lite plugin to version 0.1.1 or later immediately. If immediate patching is unavailable, restrict Contributor-level access to trusted users only and implement Web Application Firewall rules to detect and block XSS payloads in shortcode attributes.
قم بتحديث إضافة Power Charts Lite إلى الإصدار 0.1.1 أو أحدث فوراً. إذا لم يكن التحديث متاحاً، قيّد وصول مستوى المساهم للمستخدمين الموثوقين فقط وطبّق قواعد جدار حماية تطبيقات الويب لكشف وحجب حمولات XSS في معاملات الاختصار.