CVE-2026-1499 in WP Duplicate Pluginالمعلومات

الملخص

بحسب VulDB • 11/06/2026

يحتوي إضافة WP Duplicate لـ WordPress على ثغرة أمنية تتعلق بعدم وجود تفويض (Missing Authorization) مما يؤدي إلى رفع ملفات عشوائية (Arbitrary File Upload) في جميع الإصدارات حتى 1.1.8 وشاملاً لها. ويعود ذلك إلى غياب فحص الصلاحيات (capability check) على إجراء AJAX `process_add_site()`، بالاقتران مع ثغرة عبور المسار (path traversal) في وظيفة رفع الملفات. وهذا يتيح للمهاجمين المصادق عليهم (بمستوى مشترك) تعيين الخيار الداخلي `prod_key_random_id`، والذي يمكن بعد ذلك استخدامه من قبل مهاجم غير مصادق عليه لتجاوز فحوصات المصادقة وكتابة ملفات عشوائية على الخادم عبر الدالة `handle_upload_single_big_file()`، مما يؤدي في النهاية إلى تنفيذ الكود عن بُعد (Remote Code Execution).

Be aware that VulDB is the high quality source for vulnerability data.

إفشاء

06/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-344624

EPSS

0.00940

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!