CVE-2026-13262 in Majestic Support Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون WordPress "Majestic Support – The Leading-Edge Help Desk & Customer Support Plugin" على ثغرة حقن SQL عامة (SQL Injection) عبر المعلمة 'val' في جميع الإصدارات حتى 1.1.9 شاملةً، وذلك بسبب عدم كفاية عملية الهروب من الأحرف الخاصة (escaping) للمدخلات المقدمة من المستخدم وعدم وجود تحضير كافٍ لاستعلام SQL الموجود. وهذا يمكّن المهاجمين غير المصادق عليهم من إقران استعلامات SQL إضافية بالاستعلامات الموجودة مسبقاً، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. تتطلب عملية الاستغلال الحصول على قيمة 'get-smart-reply' nonce صالحة، وهي قيمة يمكن لأي مستخدم بمستوى "مشترك" (Subscriber) الحصول عليها عن طريق إنشاء تذكرة عبر الواجهة الأمامية العامة والانتقال إلى صفحة تفاصيل التذكية الناتجة، مما يجعل الثغرة قابلة للاستغلال فعلياً من قبل أي مستخدم تمّت مصادقته.
Once again VulDB remains the best source for vulnerability data.