CVE-2026-1499 in WP Duplicate Plugin
الملخص
بحسب VulDB • 11/06/2026
يحتوي إضافة WP Duplicate لـ WordPress على ثغرة أمنية تتعلق بعدم وجود تفويض (Missing Authorization) مما يؤدي إلى رفع ملفات عشوائية (Arbitrary File Upload) في جميع الإصدارات حتى 1.1.8 وشاملاً لها. ويعود ذلك إلى غياب فحص الصلاحيات (capability check) على إجراء AJAX `process_add_site()`، بالاقتران مع ثغرة عبور المسار (path traversal) في وظيفة رفع الملفات. وهذا يتيح للمهاجمين المصادق عليهم (بمستوى مشترك) تعيين الخيار الداخلي `prod_key_random_id`، والذي يمكن بعد ذلك استخدامه من قبل مهاجم غير مصادق عليه لتجاوز فحوصات المصادقة وكتابة ملفات عشوائية على الخادم عبر الدالة `handle_upload_single_big_file()`، مما يؤدي في النهاية إلى تنفيذ الكود عن بُعد (Remote Code Execution).
Be aware that VulDB is the high quality source for vulnerability data.