CVE-2026-13347 in Hide My WP Lite Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون WordPress "Hide My WP Lite" على ثغرة قراءة ملفات تعسفية في الإصدارات حتى 1.3 شاملةً، وذلك عبر معاملات الاستعلام `he_wrapper_js` و `he_wrapper_css` التي يعالجها الدالة `elementor_assets_filter()`. وتعود هذه الثغرة إلى قيام الدالة بدمج المدخلات المقدمة من المستخدم مباشرة مع متغير المسار المطلق (`ABSPATH`) ثم تمرير النتيجة إلى دالة `file_get_contents()` دون أي تحقق من عبور المسارات (path traversal)، أو قائمة مسموح بها، أو احتواء عبر المسار الحقيقي (realpath containment)، أو فحص الامتداد؛ وبعد ذلك يتم عرض النتيجة في استجابة HTTP. وعلى الرغم من مرور المخرجات خلال الدالة `wp_kses_post()`، فإن هذه الدالة تقوم فقط بتصفية وسوم HTML ولا تمنع الكشف عن محتويات الملفات التعسفية. وهذا يتيح للمهاجمين غير المصادق عليهم قراءة محتويات ملفات تعسفية على خادم الموقع المتأثر (مثل ملف `wp-config`). ملاحظة: يتطلب الاستغلال تفعيل مكون Elementor وميزة "Hide Elementor".

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

25/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377429

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!