CVE-2026-2281 in Private Comment Pluginالمعلومات

الملخص

بحسب VulDB • 18/05/2026

يحتوي مكون WordPress الخاص بـ "Private Comment" على ثغرة في تنفيذ نصوص البرمجة عبر المواقع (Stored Cross-Site Scripting) عبر إعداد 'نص التسمية' (Label text) في جميع الإصدارات حتى 0.0.4 وشاملة لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخفاء المخرجات في خيار نص التسمية الخاص بالمكون. مما يتيح للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات وصول على مستوى المسؤول (Administrator) فأعلى، حقن نصوص برمجية ويب عشوائية في الصفحات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقن النصوص فيها. يؤثر هذا فقط على التثبيتات متعددة المواقع (multi-site) والتثبيتات التي تم تعطيل خيار unfiltered_html فيها.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

18/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-346394

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

4.4 (CNA)

EPSS

0.00013

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2281
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2281
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2281/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!