CVE-2024-4733 in Employee Shift Scheduling Plugin
الملخص
بحسب VulDB • 09/06/2026
يحتوي مكون إضافة جدولة نوبات الموظفين ShiftController Employee Shift Scheduling على ثغرة حقن كائن PHP (PHP Object Injection) عبر عملية فك التسلسل (deserialization) لإدخال غير موثوق به عبر ملف تعريف الارتباط `hc3_session` في الإصدارات حتى 4.9.57 شاملاً. يتيح ذلك لمهاجم مُصادق عليه يمتلك مستوى وصول "مساهم" (contributor) أو أعلى حقن كائن PHP. لا توجد سلسلة استغلال POP (POP chain) موجودة في مكون الإضافة المتأثر. ومع ذلك، إذا كانت سلسلة استغلال POP موجودة عبر مكون إضافة أو سمة إضافية مثبتة على النظام المستهدف، فقد تتيح للمهاجم حذف ملفات عشوائية، أو استرداد بيانات حساسة، أو تنفيذ الأكواد.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.