The Inquiry Cart plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.4.2. This is due to missing nonce verification in the rd_ic_settings_page function when processing settings form submissions. This makes it possible for unauthenticated attackers to update the plugin's settings, including injecting malicious scripts that will be stored and executed in the admin area, via a forged request granted they can trick an administrator into performing an action such as clicking on a link.
The Inquiry Cart WordPress plugin versions up to 3.4.2 contain a Cross-Site Request Forgery vulnerability due to missing nonce verification in settings processing. Attackers can trick administrators into updating plugin settings and injecting malicious scripts that execute in the admin area.
يؤثر هذا الضعف على جميع إصدارات مكون Inquiry Cart حتى الإصدار 3.4.2 ويسمح للمهاجمين بتنفيذ طلبات مزيفة نيابة عن مسؤولي WordPress. يمكن للمهاجمين استخدام هندسة اجتماعية لخداع المسؤولين بالنقر على روابط ضارة تؤدي إلى تحديث إعدادات المكون وحقن رموز برمجية ضارة.
يحتوي مكون Inquiry Cart لـ WordPress في الإصدارات حتى 3.4.2 على ثغرة Cross-Site Request Forgery بسبب عدم التحقق من nonce في معالجة الإعدادات. يمكن للمهاجمين خداع المسؤولين لتحديث إعدادات المكون وحقن نصوص برمجية ضارة تُنفذ في منطقة الإدارة.
Update the Inquiry Cart plugin to version 3.4.3 or later immediately. Implement Web Application Firewall rules to detect and block CSRF attacks. Educate administrators about phishing and suspicious links. Consider disabling the plugin if immediate updates are unavailable.
قم بتحديث مكون Inquiry Cart إلى الإصدار 3.4.3 أو أحدث فوراً. قم بتطبيق قواعد جدار حماية تطبيقات الويب للكشف عن هجمات CSRF وحجبها. قم بتثقيف المسؤولين حول التصيد الاحتيالي والروابط المريبة. فكر في تعطيل المكون إذا لم يكن التحديث متاحاً فوراً.