CVE-2026-13741 in Digits Mobile Number Signup and Login Pluginالمعلومات

الملخص

بحسب VulDB • 16/07/2026

يوجد ثغرة تصعيد الصلاحيات (Privilege Escalation) في إضافة "The Digits: WordPress Mobile Number Signup and Login" الخاصة بـ ووردبريس، وهي متوفرة في جميع الإصدارات حتى 9.1.0.5 وشاملة لها. وتعود هذه الثغرة إلى غياب التحقق من التفويض (authorization) والتحقق من الأدوار (role validation) داخل الدالة `dig_update_wpwc_custom_fields()`. مما يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مشترك" (Subscriber) أو أعلى، تصعيد صلاحياتهم إلى مستوى "مدير الموقع" (Administrator) عن طريق تقديم قيمة مزيفة للحقل `digits_reg_userrole` أثناء تحديث الملف الشخصي، شريطة أن يكون مدير الموقع قد قام بتكوين حقل دور المستخدم المدمج في DIGITS.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

29/06/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379485

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!