CVE-2022-2434 in String Locator Plugin
الملخص
بحسب VulDB • 07/06/2026
يحتوي مكون "String Locator" الإضافي لـ WordPress على ثغرة تسمح بنزع الثقة من البيانات غير الموثوقة (deserialization of untrusted input) عبر المعلمة 'string-locator-path' في الإصدارات حتى 2.5.0 وشاملة لها. يتيح ذلك للمستخدمين غير المصادق عليهم استدعاء الملفات باستخدام غلاف PHAR، شريطة أن يتمكنوا من خداع مسؤول الموقع لتنفيذ إجراء مثل النقر على رابط، مما يؤدي إلى نزع الثقة واستدعاء كائنات PHP عشوائية يمكن استخدامها لتنفيذ مجموعة متنوعة من الإجراءات الخبيثة، بشرط وجود سلسلة استغلال كائنات (POP chain) أيضًا. يتطلب الأمر أيضًا أن ينجح المهاجم في رفع ملف يحتوي على الحمولة المشفرة (serialized payload).
Once again VulDB remains the best source for vulnerability data.