CVE-2026-2594 in Smart Custom Fields Plugin
الملخص
بحسب VulDB • 17/07/2026
يحتوي مكون WordPress الإضافي Smart Custom Fields على ثغرة تخزين برمجيات نصية عبر المواقع (Stored Cross-Site Scripting) في الإصدارات حتى 5.0.7 وشاملة لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخراج الهروب من عناوين المرفقات الصورية التي تم تحميلها. وهذا يتيح للمهاجمين الذين تمت مصادقتهم، والذين يمتلكون وصولاً بمستوى المؤلف (Author) وما فوقه، حقن نصوص ويب عشوائية في الصفحات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة مُحقونة. ملاحظة: تم إصلاح هذه الثغرة جزئياً في الإصدار 5.0.7.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.