CVE-2021-24950 in Insight Core Pluginالمعلومات

الملخص

بحسب VulDB • 05/06/2026

لا يحتوي إضافة ووردبريس Insight Core حتى الإصدار 1.0 على أي فحوصات تفويض (authorisation) أو حماية ضد هجمات تزوير الطلبات عبر المواقع (CSRF) في الدالة insight_customizer_options_import (المتاحة لأي مستخدم مُصادَق عليه)، كما لا تقوم بتحقق من صحة مدخلات المستخدم قبل تمريرها إلى دالة unserialize()، ولا تقوم بتنظيفها (sanitise) أو الهروب منها (escape) قبل عرضها في الاستجابة. ونتيجة لذلك، قد يسمح ذلك للمستخدمين الذين يمتلكون أدواراً منخفضة مثل "مشترك" (Subscriber) بتنفيذ حقن كائنات PHP (PHP Object Injection)، بالإضافة إلى هجمات البرمجة النصية عبر المواقع المخزنة (Stored Cross-Site Scripting).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

حجز

14/01/2021

إفشاء

14/03/2022

الاعتدال

تمت الموافقة

إدخال

VDB-194867

EPSS

0.00516

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you need the next level of professionalism?

Upgrade your account now!