SEUR Oficial < 1.7.0 – Admin+ Stored Cross-Site Scripting | CVE 2021-25005

Description

The plugin does not sanitize and escape some of its settings allowing high privilege users to perform Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed

Proof of Concept

Put the following payload in one of the plugin's settings: "><script>alert('XSS');</script>

Affected files:
* seur\core\pages\setting-options\user-settings.php

The following fields are not escaped properly in the settings page: seur_nif_field, seur_empresa_field, seur_vianombre_field, seur_vianumero_field, seur_escalera_field, seur_piso_field, seur_puerta_field, seur_postal_field, seur_poblacion_field, seur_provincia_field, seur_telefono_field, seur_email_field, seur_contacto_nombre_field, seur_contacto_apellidos_field, seur_cit_codigo_field, seur_cit_usuario_field, seur_cit_contra_field, seur_ccc_field, seur_int_ccc_field, seur_franquicia_field, seur_seurcom_usuario_field, seur_seurcom_contra_field, seur_google_maps_api_field, seur_id_mercancia_field, seur_descripcion_field