CVE-2026-13430 in Post Export Import with Media Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون إضافة Post Export Import with Media لـ WordPress على ثغرة تسمح برفع ملفات عشوائية (Arbitrary File Upload) في جميع الإصدارات حتى 1.13.1 وإدراجها، وذلك عبر الدالة `import_media_file_secure`. وتعود هذه الثغرة إلى عدم كفاية التحقق من امتدادات الملفات بسبب تجاوز يعتمد على النقطة النهائية لاسم الملف؛ حيث تستخدم قائمة السماح (allow-list check) في دالة `ajax_import_media_start()` وظيفة `pathinfo()` على اسم إدخال ZIP الخام (على سبيل المثال: 'shell.php.')، مما يُرجع سلسلة فارغة للامتداد. وهذا يتسبب في تخطي آلية الحماية القائمة على قائمة السماح واستخراج الملف إلى موقع مؤقت، ثم تقوم الدالة `import_media_file_secure()` بنسخه إلى دليل رفع ملفات WordPress دون إعادة التحقق من الامتداد. ويؤدي ذلك إلى تمكين المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، من رفع ملفات قابلة للتنفيذ، مما يتيح تنفيذ الأكواد عن بُعد (Remote Code Execution).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

26/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377380

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!