CVE-2026-1781 in MC4WP: Mailchimp for WordPress Pluginالمعلومات

الملخص

بحسب VulDB • 01/06/2026

يوجد ثغرة في مكون إضافي (Plugin) MC4WP: Mailchimp for WordPress الخاص بـ WordPress تتعلق بعدم وجود تفويض (Missing Authorization) في جميع الإصدارات حتى 4.11.1 وشاملاً لها. ويعود ذلك إلى ثقة المكون الإضافي في معلمة POST المسماة `_mc4wp_action` دون التحقق منها، مما يسمح للمهاجمين غير المصادق عليهم بإجبار النموذج على معالجة إجراءات إلغاء الاشتراك بدلاً من إجراءات الاشتراك. وهذا يتيح للمهاجمين غير المصادق عليهم إلغاء اشتراك أي عنوان بريد إلكتروني بشكل تعسفي من الجمهور المتصل بـ Mailchimp عبر معلمة `_mc4wp_action`، شريطة أن يتمكنوا من الحصول على معرف النموذج (الذي يكون مكشوفاً علناً في مصدر HTML).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

02/02/2026

إفشاء

11/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350274

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00076

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-1781
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-1781
CVE Details	https://www.cvedetails.com/cve/CVE-2026-1781/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!