Context Navigation

← Previous Changeset
Next Changeset →

Changeset 3391261

Timestamp:

11/06/2025 04:10:28 PM (4 months ago)

Author:

concertedaction

Message:

Security: Fix multiple XSS vulnerabilities

Fixed Cross-Site Scripting (XSS) vulnerabilities that could allow malicious scripts to be injected into admin pages:

Fixed direct output of page? without escaping in admin actions filter form
Fixed unescaped output of widget submission messages
Fixed unescaped output in textarea fields for embed code and location
Fixed unescaped widget control values in uwfWidgetControls class (text inputs, select options, checkboxes, textareas)
Fixed missing echo statements for escaped values in settings forms

All user input and dynamic content is now properly escaped using WordPress escaping functions (esc_attr, esc_html, esc_textarea, wp_kses_post).

This addresses the security issue that caused the plugin to be removed from the WordPress plugin directory.

Location:

wp-action-network/trunk

Files:

: 3 edited

actionnetwork.php (modified) (8 diffs)
includes/actionnetwork-widgets.class.php (modified) (1 diff)
includes/uwfWidgetControls.class.php (modified) (4 diffs)

Legend:

: Unmodified
: Added
: Removed

wp-action-network/trunk/actionnetwork.php

-                      r3076675
+                      r3391261
                 <form id="actionnetwork-actions-filter" method="get">
                     <input type="hidden" name="page" value="<?php echo $_REQUEST['page'] ?>" />
+                    <input type="hidden" name="page" value="<?php echo esc_attr( isset($_REQUEST['page']) ? $_REQUEST['page'] : '' ); ?>" />
                     <p class="search-box">
                         <label class="screen-reader-text" for="action-search-input"><?php echo $searchtext; ?>:</label>
 …
                                 <input id="actionnetwork_add_embed_title" name="actionnetwork_add_embed_title" class="required<?php
                                     echo (isset($action_returns['errors']['#actionnetwork_add_embed_title']) && $action_returns['errors']['#actionnetwork_add_embed_title']) ? ' error' : '';
                                 ?>" type="text" value="<?php esc_attr($actionnetwork_add_embed_title); ?>" />
+                                ?>" type="text" value="<?php echo esc_attr($actionnetwork_add_embed_title); ?>" />
                             </td>
                         </tr>
 …
                                 <input id="actionnetwork_add_embed_date" name="actionnetwork_add_embed_date" type="date" class="required<?php
                                     echo (isset($action_returns['errors']['#actionnetwork_add_embed_date']) && $action_returns['errors']['#actionnetwork_add_embed_date']) ? ' error' : '';
                                 ?>" type="text" value="<?php esc_attr($actionnetwork_add_embed_date); ?>" /> <?php echo _actionnetwork_build_time_input( $actionnetwork_add_embed_date_time_hour, $actionnetwork_add_embed_date_time_minutes, $actionnetwork_add_embed_date_time_ampm ); ?>
+                                ?>" type="text" value="<?php echo esc_attr($actionnetwork_add_embed_date); ?>" /> <?php echo _actionnetwork_build_time_input( $actionnetwork_add_embed_date_time_hour, $actionnetwork_add_embed_date_time_minutes, $actionnetwork_add_embed_date_time_ampm ); ?>
                             </td>
                         </tr>
 …
                                 <textarea id="actionnetwork_add_embed_code" name="actionnetwork_add_embed_code" class="required<?php
                                     echo (isset($action_returns['errors']['#actionnetwork_add_embed_code']) && $action_returns['errors']['#actionnetwork_add_embed_code']) ? ' error' : '';
                                 ?>"><?php echo $actionnetwork_add_embed_code; ?></textarea>
+                                ?>"><?php echo esc_textarea($actionnetwork_add_embed_code); ?></textarea>
                             </td>
                         </tr>
 …
                             <th scope="row"><label for="actionnetwork_add_location"><?php _e('Event location', 'actionnetwork'); ?></label></th>
                             <td>
                                 <textarea id="actionnetwork_add_location" name="actionnetwork_add_location"><?php echo $actionnetwork_add_location; ?></textarea>
+                                <textarea id="actionnetwork_add_location" name="actionnetwork_add_location"><?php echo esc_textarea($actionnetwork_add_location); ?></textarea>
                                 <p><?php _e('Event location will only display on the upcoming events list; if you are entering a description above (instead of an embed code), make sure the location is included in the description as well'); ?></p>
                             </td>
 …
                             <th scope="row"><label for="actionnetwork_api_key"><?php _e('Action Network API Key', 'actionnetwork'); ?></label></th>
                             <td>
                                 <input id="actionnetwork_api_key" name="actionnetwork_api_key" type="text" value="<?php esc_attr($actionnetwork_api_key); ?>" />
+                                <input id="actionnetwork_api_key" name="actionnetwork_api_key" type="text" value="<?php echo esc_attr($actionnetwork_api_key); ?>" />
                             </td>
                         </tr>
 …
                             <th scope="row"><label for="actionnetwork_hcaptcha_site_key"><?php _e('hCaptcha Site Key', 'actionnetwork'); ?></label></th>
                             <td>
                                 <input id="actionnetwork_hcaptcha_site_key" style="min-width: 400px" name="actionnetwork_hcaptcha_site_key" type="text" value="<?php esc_attr($hcaptcha_site_key); ?>" />
+                                <input id="actionnetwork_hcaptcha_site_key" style="min-width: 400px" name="actionnetwork_hcaptcha_site_key" type="text" value="<?php echo esc_attr($hcaptcha_site_key); ?>" />
                             </td>
                         </tr>
 …
                             <th scope="row"><label for="actionnetwork_hcaptcha_secret_key"><?php _e('hCaptcha Secret Key', 'actionnetwork'); ?></label></th>
                             <td>
                                 <input id="actionnetwork_hcaptcha_secret_key" style="min-width: 400px" name="actionnetwork_hcaptcha_secret_key" type="text" value="<?php esc_attr($hcaptcha_secret_key); ?>" />
+                                <input id="actionnetwork_hcaptcha_secret_key" style="min-width: 400px" name="actionnetwork_hcaptcha_secret_key" type="text" value="<?php echo esc_attr($hcaptcha_secret_key); ?>" />
                             </td>
                         </tr>

wp-action-network/trunk/includes/actionnetwork-widgets.class.php

r3076675	r3391261
654	654	if (isset($submission['message']) && $submission['message']) {
655	655	echo "<div class=\"actionnetwork-signup-message" . (count($errors) ? ' error' : '') . "\">";
656		echo ~~$submission['message']~~;
	656	echo wp_kses_post( $submission['message'] );
657	657	echo "</div>";
658	658	}

wp-action-network/trunk/includes/uwfWidgetControls.class.php

-                      r2032308
+                      r3391261
             switch ($arg_attr['type']) {
                 case 'text':
                     $output .= $label . ' <input class="widefat" id="'.$id.'" name="'.$name.'" type="text" value="'.$value.'">';
+                    $output .= $label . ' <input class="widefat" id="'.$id.'" name="'.$name.'" type="text" value="'.esc_attr($value).'">';
                 break;
 …
                     if (!$value) { $output .= '<option>-</option>'; }
                     foreach ($arg_attr['options'] as $option_value => $option_name) {
                         $output .= '<option value="'.$option_value.'"'.selected( $value, $option_value, false ).'>'.$option_name.'</option>';
+                        $output .= '<option value="'.esc_attr($option_value).'"'.selected( $value, $option_value, false ).'>'.esc_html($option_name).'</option>';
+                    }
                     $output .= '</select>';
 …
                 case 'number':
                     $value = (int) $value;
                     $output .= $label . ' <input id="'.$id.'" name="'.$name.'" type="number" step="1" min="0" class="tiny-text" value="'.$value.'">';
+                    $output .= $label . ' <input id="'.$id.'" name="'.$name.'" type="number" step="1" min="0" class="tiny-text" value="'.esc_attr($value).'">';
                 break;
 …
                         $checked = in_array( $option, $values ) ? ' checked="checked"' : '';
                         $option_id = $id . '-' . sanitize_key( $option );
+                        $option_label = '<label for="' . $option_id . '" class="checkboxes-option">' . $option . '</label>';
+                        $output .= '<input type="checkbox" id="'.$option_id.'" name="'.$name.'[]" value="'.$option.'"'.$checked.'> ' . $option_label . '<br />';
+                        $option_escaped = esc_attr($option);
+                        $option_label = '<label for="' . $option_id . '" class="checkboxes-option">' . esc_html($option) . '</label>';
+                        $output .= '<input type="checkbox" id="'.$option_id.'" name="'.$name.'[]" value="'.$option_escaped.'"'.$checked.'> ' . $option_label . '<br />';
+                    }
                 break;
                 case 'textarea':
                     $output .= $label . '<textarea class="widefat" id="'.$id.'" name="'.$name.'">'.$value.'</textarea>';
+                    $output .= $label . '<textarea class="widefat" id="'.$id.'" name="'.$name.'">'.esc_textarea($value).'</textarea>';
                 break;
+            }

Note: See TracChangeset for help on using the changeset viewer.

Trac UI Preferences

Plugin Directory