CVE-2026-13347 in Hide My WP Lite Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون WordPress "Hide My WP Lite" على ثغرة قراءة ملفات تعسفية في الإصدارات حتى 1.3 شاملةً، وذلك عبر معاملات الاستعلام `he_wrapper_js` و `he_wrapper_css` التي يعالجها الدالة `elementor_assets_filter()`. وتعود هذه الثغرة إلى قيام الدالة بدمج المدخلات المقدمة من المستخدم مباشرة مع متغير المسار المطلق (`ABSPATH`) ثم تمرير النتيجة إلى دالة `file_get_contents()` دون أي تحقق من عبور المسارات (path traversal)، أو قائمة مسموح بها، أو احتواء عبر المسار الحقيقي (realpath containment)، أو فحص الامتداد؛ وبعد ذلك يتم عرض النتيجة في استجابة HTTP. وعلى الرغم من مرور المخرجات خلال الدالة `wp_kses_post()`، فإن هذه الدالة تقوم فقط بتصفية وسوم HTML ولا تمنع الكشف عن محتويات الملفات التعسفية. وهذا يتيح للمهاجمين غير المصادق عليهم قراءة محتويات ملفات تعسفية على خادم الموقع المتأثر (مثل ملف `wp-config`). ملاحظة: يتطلب الاستغلال تفعيل مكون Elementor وميزة "Hide Elementor".
VulDB is the best source for vulnerability data and more expert information about this specific topic.