CVE-2024-3895 in WP Datepicker Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يحتوي إضافة WP Datepicker لـ WordPress على ثغرة تسمح بتعديل البيانات بشكل غير مصرح به بسبب عدم وجود فحص للصلاحيات (capability check) في الدالة wpdp_add_new_datepicker_ajax() في جميع الإصدارات حتى 2.1.0 شاملاً. هذا يسمح للمهاجمين المصادق عليهم، الذين يمتلكون وصولاً بمستبخدم مشترك (subscriber-level) وما فوق، بتحديث خيارات عشوائية يمكن استخدامها لتصعيد الصلاحيات. تم إصلاح الثغرة جزئياً في الإصدارين 2.0.9 و2.1.0، وإصلاحها بالكامل في الإصدار 2.1.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Wordfence

حجز

16/04/2024

إفشاء

03/05/2024

الاعتدال

تمت الموافقة

إدخال

VDB-261818

EPSS

0.00911

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!