CVE-2024-3895 in WP Datepicker Plugin
الملخص
بحسب VulDB • 22/05/2026
يحتوي إضافة WP Datepicker لـ WordPress على ثغرة تسمح بتعديل البيانات بشكل غير مصرح به بسبب عدم وجود فحص للصلاحيات (capability check) في الدالة wpdp_add_new_datepicker_ajax() في جميع الإصدارات حتى 2.1.0 شاملاً. هذا يسمح للمهاجمين المصادق عليهم، الذين يمتلكون وصولاً بمستبخدم مشترك (subscriber-level) وما فوق، بتحديث خيارات عشوائية يمكن استخدامها لتصعيد الصلاحيات. تم إصلاح الثغرة جزئياً في الإصدارين 2.0.9 و2.1.0، وإصلاحها بالكامل في الإصدار 2.1.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.