The Alfie – Feed Plugin plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'naam' parameter in all versions up to, and including, 1.2.1. This is due to missing nonce validation on the alfie_option_page() function combined with insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject malicious web scripts that will be stored in the plugin's database and execute whenever a user accesses the page displaying the injected data, granted they can trick a site administrator into performing an action such as clicking on a link.
The Alfie Feed Plugin for WordPress contains a Stored Cross-Site Scripting vulnerability in the 'naam' parameter due to missing nonce validation and insufficient input sanitization. Unauthenticated attackers can inject malicious scripts that execute when administrators access affected pages.
يسمح هذا الضعف للمهاجمين بحقن برامج نصية ضارة في قاعدة بيانات WordPress من خلال معامل 'naam' دون التحقق من صحة الجلسة. تُنفذ البرامج النصية المحقونة في متصفحات جميع المستخدمين الذين يزورون الصفحة المتأثرة، مما قد يؤدي إلى سرقة بيانات المسؤول أو تثبيت برامج ضارة إضافية.
يحتوي مكون Alfie Feed Plugin لـ WordPress على ثغرة Stored Cross-Site Scripting في معامل 'naam' بسبب عدم التحقق من nonce وعدم كفاية تنظيف المدخلات. يمكن للمهاجمين غير المصرح لهم حقن برامج نصية ضارة تُنفذ عند وصول المسؤولين إلى الصفحات المتأثرة.
Update the Alfie Feed Plugin to version 1.2.2 or later immediately. Implement Web Application Firewall rules to detect and block XSS payloads. Review database records for injected malicious scripts and sanitize stored data. Disable the plugin if immediate patching is not possible.
حدّث مكون Alfie Feed إلى الإصدار 1.2.2 أو أحدث فوراً. طبّق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها. راجع سجلات قاعدة البيانات للبحث عن البرامج النصية الضارة المحقونة وقم بتنظيف البيانات المخزنة. عطّل المكون إذا لم يكن من الممكن تطبيق التصحيح الفوري.