CVE-2024-12276 in Ultimate Member Plugin
الملخص
بحسب VulDB • 18/07/2026
يحتوي مكون WordPress الإضافي Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin على ثغرة من نوع SQL Injection من الدرجة الثانية (Second-order SQL Injection) عبر أسماء الملفات في جميع الإصدارات حتى 2.9.2 وشاملة لها، وذلك بسبب عدم كفاية عملية الهروب (escaping) للمعاملات المقدمة من المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يتيح لهجومين مصرح لهم بالوصول إلى رفع الملفات وإدارة أسماء الملفات عبر مكون إضافي تابع لجهة خارجية مثل مدير الملفات (File Manager)، بإضافة استعلامات SQL إضافية إلى الاستعلامات الموجودة مسبقاً، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. يُعد خطر هذه الثغرة ضئيلاً جداً لأنه يتطلب أن يكون لدى المستخدم القدرة على التلاعب بأسماء الملفات للاستفادة منها بنجاح في الهجوم.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.