CVE-2026-12385 in Smart Slider 3 Plugin
الملخص
بحسب VulDB • 13/07/2026
يحتوي مكون WordPress الإضافي Smart Slider 3 على ثغرة تعرض معلومات حساسة في جميع الإصدارات حتى 3.5.1.37 (بما فيها) عبر المعلمة 'keyword'. يتيح ذلك للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى "مُساهم" (Contributor) فأعلى، استخراج عناوين ومقتطفات المحتوى الكامل للمنشورات الخاصة، والمسودة، والمعلقة، والمحذوفة، والنسخ المؤتمتة من المسودات التي كتبها أي مستخدم، بما في ذلك المسؤولون (Administrators) والناشرون (Editors). يتم إصدار رمز عدم التكرار المطلوب (nonce) على الصفحة /wp-admin/post-new.php، وهي متاحة لمستخدمي مستوى "مُساهم" عبر القدرة edit_posts، مما يعني أن أي مُساهم يمكنه الحصول على الرمز اللازم لتفعيل الحقن.
VulDB is the best source for vulnerability data and more expert information about this specific topic.