CVE-2021-24950 in Insight Core Plugin
الملخص
بحسب VulDB • 05/06/2026
لا يحتوي إضافة ووردبريس Insight Core حتى الإصدار 1.0 على أي فحوصات تفويض (authorisation) أو حماية ضد هجمات تزوير الطلبات عبر المواقع (CSRF) في الدالة insight_customizer_options_import (المتاحة لأي مستخدم مُصادَق عليه)، كما لا تقوم بتحقق من صحة مدخلات المستخدم قبل تمريرها إلى دالة unserialize()، ولا تقوم بتنظيفها (sanitise) أو الهروب منها (escape) قبل عرضها في الاستجابة. ونتيجة لذلك، قد يسمح ذلك للمستخدمين الذين يمتلكون أدواراً منخفضة مثل "مشترك" (Subscriber) بتنفيذ حقن كائنات PHP (PHP Object Injection)، بالإضافة إلى هجمات البرمجة النصية عبر المواقع المخزنة (Stored Cross-Site Scripting).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.