CVE-2025-14042
MediumSummary
Motoryzacyjny motyw WordPress dla dealerów samochodowych jest podatny na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe pole 'Project Details' w elementach portfolio w wersjach do 13.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów dostarczanych przez użytkowników.
Risk Assessment
Atakujący z uprawnieniami na poziomie współpracownika lub wyższymi mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony. Może to prowadzić do kradzieży danych lub przejęcia sesji użytkowników.
Recommendation
Zaleca się aktualizację motywu do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji i ucieczki dla danych wejściowych w niestandardowych polach. Należy również ograniczyć dostęp do panelu administracyjnego tylko dla zaufanych użytkowników.
Original NVD description (English source)
The Automotive Car Dealership Business WordPress Theme for WordPress is vulnerable to Stored Cross-Site Scripting via the 'Project Details' custom field in Portfolio Items in all versions up to, and including, 13.4.1. This is due to insufficient input sanitization and output escaping on user-supplied attributes in the 'project_details' custom field. This makes it possible for authenticated attackers, with contributor-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

