CVE-2026-15155 in Essential Addons for Elementor Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون إضافي (Plugin) "Essential Addons for Elementor – Popular Elementor Templates & Widgets" لـ ووردبريس على ثغرة تسمح بالسيطرة على الحسابات بعد المصادقة عبر حقن رؤوس البريد الإلكتروني في جميع الإصدارات حتى 6.6.10 شاملاً. وتعود هذه الثغرة إلى عدم كفاية التحقق من صحة البيانات المدخلة (Validation) على جانب الخادم لإعدادات مكون "تسجيل الدخول/إنشاء حساب" المستخدم في بناء رؤوس رسائل البريد الإلكتروني الصادرة؛ حيث يتم فرض قيود القيم المسموح بها فقط عبر واجهة محرر الواجهة الأمامية (Client-side editor UI)، وليس على مستوى الخادم، ولا تقوم عملية التطهير (Sanitization) المطبقة بإزالة أو ترميز أحرف CR/LF، مما يسمح لتسلسلات CRLF المخزنة في هذا الإعداد بالبقاء سليمة داخل رؤوس البريد الخام. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مشارك" (Contributor) فأعلى، من حقن رأس Bcc إضافي إلى رسالة إشعار إعادة تعيين كلمة المرور الخاصة بمسؤول ووردبريس، واستلام نسخة من رابط إعادة تعيين كلمة مرور المسؤول الصالح، وتحقيق السيطرة الكاملة على حساب المسؤول.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

08/07/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377768

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!