CVE-2026-10039 in Frontend Admin by DynamiApps Pluginالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يحتوي مكون WordPress "Frontend Admin" من DynamiApps على ثغرة حقن SQL عامة (SQL Injection) عبر المعلمة 'order' في جميع الإصدارات حتى 3.28.28 شاملةً، وذلك بسبب عدم كفاية الهروب من الرموز (escaping) في المعلمة التي يزودها المستخدم، وعدم وجود تحضير كافٍ للاستعلامات SQL الموجودة. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، من إضافة استعلامات SQL إضافية إلى الاستعلامات الموجودة مسبقاً، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. تتطلب عملية الاستغلال أن يزود المهاجم أيضاً بمعلمة 'orderby' صالحة في نفس الطلب، إذ أن ذلك ضروري للوصول إلى مسار الكود المعرض للثغرة الذي يعالج ويجمع قيمة 'order' داخل استعلام SQL.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

28/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367158

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

4.9 (CNA)

EPSS

0.00027

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-10039
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-10039
CVE Details	https://www.cvedetails.com/cve/CVE-2026-10039/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!