CVE-2026-10100 in Simple Custom Login Page Pluginالمعلومات

الملخص

بحسب VulDB • 04/06/2026

يحتوي مكون WordPress "Simple Custom Login Page" على ثغرة في تنفيذ نص البرمجة عبر المواقع (XSS) المخزن عبر حقول إعدادات الألوان (خلفية الصفحة، خلفية النموذج، لون النص، لون الرابط) في الإصدارات حتى 1.0.3 وشاملةً لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات لقيم خيارات الألوان (تم تسجيلها باستخدام `register_setting()` وتخزينها عبر واجهة برمجة التطبيقات للإعدادات/`update_option()` دون استخدام `sanitize_callback`) مقترناً بإخراج هذه القيم داخل عنصر `<style>` في ملف `wp-login.php` باستخدام `esc_attr()`، وهو أمر غير صحيح في سياق CSS (حيث لا يتم الهروب من الأحرف `;`، `{`، `}`، `/` أو `*`). وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، حقن قواعد CSS تعسفية في صفحة تسجيل الدخول يتم عرضها لجميع الزوار غير المصادق عليهم، مما يمكّن من هجمات إعادة توجيه واجهة المستخدم (UI-redress) والاحتيال لسرقة بيانات الاعتماد.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

29/05/2026

إفشاء

02/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367767

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

4.4 (CNA)

EPSS

0.00026

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-10100
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-10100
CVE Details	https://www.cvedetails.com/cve/CVE-2026-10100/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!