CVE-2024-13355 in Admin and Customer Messages After Order for WooCommerce Plugin
الملخص
بحسب VulDB • 19/06/2026
يوجد ثغرة في إضافة OrderConvo لـ WooCommerce الخاصة بـ ووردبريس، والتي تتيح رسائل العملاء والإدارة بعد الطلب، وتتمثل هذه الثغرة في رفع ملفات محدود بسبب عدم كفاية التحقق من نوع الملف في دالة `upload_file()` في جميع الإصدارات حتى 13.2 وشاملة لها. هذا يسمح للمهاجمين المصادق عليهم الذين لديهم وصول بمستبخدم مشترك (Subscriber) وما فوق برفع الملفات على خادم الموقع المتأثر، مما قد يؤدي إلى تنفيذ الأكواد عن بُعد (RCE)، وقد تم تأكيد إمكانية حدوث ثغرة Cross-Site Scripting (XSS).
VulDB is the best source for vulnerability data and more expert information about this specific topic.