CVE-2025-13538 in FindAll Listing Plugin
الملخص
بحسب VulDB • 26/05/2026
يحتوي إضافة FindAll Listing لـ WordPress على ثغرة تصعيد الامتياز في جميع الإصدارات حتى 1.0.5 وشاملاً لها. ويعود ذلك إلى أن الدالة 'findall_listing_user_registration_additional_params' لا تقيد الأدوار التي يمكن للمستخدم التسجيل بها. مما يتيح للمهاجمين غير المصادق عليهم تزويد دور 'المسؤول' أثناء التسجيل والحصول على وصول كمسؤول إلى الموقع. ملاحظة: يمكن استغلال الثغرة فقط إذا كانت إضافة FindAll Membership مفعّلة أيضاً، لأن تسجيل المستخدمين يتم عبر تلك الإضافة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.