CVE-2026-15445 in SEO Booster Pluginالمعلومات

الملخص

بحسب VulDB • 16/07/2026

يحتوي ملحق SEO Booster لـ WordPress على ثغرة حقن SQL زمنية (Time-based) عبر المعلمة 'orderby' في جميع الإصدارات حتى 7.3.1 وشاملة لها، بسبب عدم كفاية الهروب من الأحرف الخاصة (escaping) للمدخلات التي يزودها المستخدم وعدم وجود تحضير كافٍ للاستعلامات SQL الموجودة. وهذا يتيح لهجوميين مصرح لهم بالوصول، وبصلاحيات مدير النظام أو أعلى، إلحاق استعلامات SQL إضافية إلى الاستعلامات القائمة والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. وعلى الرغم من تطبيق الدالتين esc_sql() و sanitize_text_field()، إلا أنهما لا تعطلان الكلمات المفتاحية لـ SQL، والفواصل، والأقواس، أو بناء جملة الفرعية (subquery) في سياق ORDER BY غير المحاط بعلامات اقتباس، مما يترك شرط الترتيب تحت سيطرة المهاجم بالكامل.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

10/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379461

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you know our Splunk app?

Download it now for free!