The Auto Thumbnail plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'thumbnails' shortcode in all versions up to, and including, 1.0. This is due to insufficient input sanitization and output escaping on the shortcode's 'width' and 'height' attributes in the athn_thumbnails() function, which are concatenated directly into an HTML <img> tag. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
The Auto Thumbnail WordPress plugin versions up to 1.0 contains a Stored XSS vulnerability in the thumbnails shortcode due to insufficient sanitization of width and height attributes. Authenticated contributors can inject malicious scripts that execute for all users viewing affected pages.
ثغرة Stored XSS في إضافة Auto Thumbnail للـ WordPress تؤثر على جميع الإصدارات حتى 1.0، حيث تفتقر دالة athn_thumbnails() إلى التنظيف الكافي للمدخلات وترميز المخرجات. يمكن للمستخدمين المصرح لهم على مستوى المساهم وما فوق حقن نصوص برمجية عشوائية في صفحات الويب التي ستُنفذ عند وصول أي مستخدم إليها.
The Auto Thumbnail WordPress plugin versions up to 1.0 contains a Stored XSS vulnerability in the thumbnails shortcode due to insufficient sanitization of width and height attributes. Authenticated contributors can inject malicious scripts that execute for all users viewing affected pages.
Update the Auto Thumbnail plugin to version 1.1 or later immediately. Implement input validation and output escaping for all shortcode attributes. Restrict contributor access to only trusted users. Monitor WordPress sites for suspicious shortcode usage and audit page revisions for injected content.
قم بتحديث إضافة Auto Thumbnail إلى الإصدار 1.1 أو أحدث فوراً. طبق التحقق من صحة المدخلات والترميز الآمن لجميع خصائص الاختصار. قيد وصول المساهمين للمستخدمين الموثوقين فقط. راقب مواقع WordPress للاستخدام المريب للاختصارات وتدقيق مراجعات الصفحات للمحتوى المحقون.