CVE-2026-3367 in Lockme calendars integration Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون إضافي لتكامل تقويمات OAuth2 الخاص بـ Lockme لبرنامج ووردبريس على ثغرة تسمح بتنفيذ نصوص برمجية عبر المواقع (XSS) مخزنة في جميع الإصدارات حتى 2.11.0 شاملاً. وتعود هذه الثغرة إلى عدم كفاية تنقية المدخلات وإخراج الهروب منها. فإن استدعاء الدالة register_setting() الموجود في السطر 197 يفتقر إلى دالة تنظيف (sanitize callback)، مما يسمح بتخزين بيانات غير منقّاة عبر update_option(). وعند عرض صفحة الإعدادات، يتم طباعة القيمة المخزنة مباشرةً داخل سمة قيمة حقل إدخال HTML دون استخدام esc_attr() في السطر 212. وهذا يتيح للمهاجمين المصادَق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، حقن نصوص برمجية ويب عشوائية في صفحة الإعدادات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى إعدادات المكون الإضافي. تتأثر عدة حقول: App ID (client_id)، وApp Secret (client_secret)، وسابق Bookings ID (id_prefix)، ونطاق API (api_domain). وتُعد هذه الثغرة ذات تأثير كبير بشكل خاص في تثبيتات ووردبريس متعددة المواقع حيث ينبغي ألا يتمكن مسؤولو المواقع الفردية من تنفيذ نصوص جافا سكريبت تؤثر على المستخدمين الآخرين.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

27/02/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377735

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you need the next level of professionalism?

Upgrade your account now!