CVE-2026-15155 in Essential Addons for Elementor Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون إضافي (Plugin) "Essential Addons for Elementor – Popular Elementor Templates & Widgets" لـ ووردبريس على ثغرة تسمح بالسيطرة على الحسابات بعد المصادقة عبر حقن رؤوس البريد الإلكتروني في جميع الإصدارات حتى 6.6.10 شاملاً. وتعود هذه الثغرة إلى عدم كفاية التحقق من صحة البيانات المدخلة (Validation) على جانب الخادم لإعدادات مكون "تسجيل الدخول/إنشاء حساب" المستخدم في بناء رؤوس رسائل البريد الإلكتروني الصادرة؛ حيث يتم فرض قيود القيم المسموح بها فقط عبر واجهة محرر الواجهة الأمامية (Client-side editor UI)، وليس على مستوى الخادم، ولا تقوم عملية التطهير (Sanitization) المطبقة بإزالة أو ترميز أحرف CR/LF، مما يسمح لتسلسلات CRLF المخزنة في هذا الإعداد بالبقاء سليمة داخل رؤوس البريد الخام. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مشارك" (Contributor) فأعلى، من حقن رأس Bcc إضافي إلى رسالة إشعار إعادة تعيين كلمة المرور الخاصة بمسؤول ووردبريس، واستلام نسخة من رابط إعادة تعيين كلمة مرور المسؤول الصالح، وتحقيق السيطرة الكاملة على حساب المسؤول.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.