CVE-2026-13430 in Post Export Import with Media Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون إضافة Post Export Import with Media لـ WordPress على ثغرة تسمح برفع ملفات عشوائية (Arbitrary File Upload) في جميع الإصدارات حتى 1.13.1 وإدراجها، وذلك عبر الدالة `import_media_file_secure`. وتعود هذه الثغرة إلى عدم كفاية التحقق من امتدادات الملفات بسبب تجاوز يعتمد على النقطة النهائية لاسم الملف؛ حيث تستخدم قائمة السماح (allow-list check) في دالة `ajax_import_media_start()` وظيفة `pathinfo()` على اسم إدخال ZIP الخام (على سبيل المثال: 'shell.php.')، مما يُرجع سلسلة فارغة للامتداد. وهذا يتسبب في تخطي آلية الحماية القائمة على قائمة السماح واستخراج الملف إلى موقع مؤقت، ثم تقوم الدالة `import_media_file_secure()` بنسخه إلى دليل رفع ملفات WordPress دون إعادة التحقق من الامتداد. ويؤدي ذلك إلى تمكين المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، من رفع ملفات قابلة للتنفيذ، مما يتيح تنفيذ الأكواد عن بُعد (Remote Code Execution).
VulDB is the best source for vulnerability data and more expert information about this specific topic.