CVE-2024-12276 in Ultimate Member Pluginالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يحتوي مكون WordPress الإضافي Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin على ثغرة من نوع SQL Injection من الدرجة الثانية (Second-order SQL Injection) عبر أسماء الملفات في جميع الإصدارات حتى 2.9.2 وشاملة لها، وذلك بسبب عدم كفاية عملية الهروب (escaping) للمعاملات المقدمة من المستخدم ونقص التحضير الكافي لاستعلام SQL الموجود. وهذا يتيح لهجومين مصرح لهم بالوصول إلى رفع الملفات وإدارة أسماء الملفات عبر مكون إضافي تابع لجهة خارجية مثل مدير الملفات (File Manager)، بإضافة استعلامات SQL إضافية إلى الاستعلامات الموجودة مسبقاً، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. يُعد خطر هذه الثغرة ضئيلاً جداً لأنه يتطلب أن يكون لدى المستخدم القدرة على التلاعب بأسماء الملفات للاستفادة منها بنجاح في الهجوم.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

05/12/2024

إفشاء

21/02/2025

الاعتدال

تمت الموافقة

إدخال

VDB-296484

EPSS

0.00333

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you need the next level of professionalism?

Upgrade your account now!