CVE-2026-3367 in Lockme calendars integration Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون إضافي لتكامل تقويمات OAuth2 الخاص بـ Lockme لبرنامج ووردبريس على ثغرة تسمح بتنفيذ نصوص برمجية عبر المواقع (XSS) مخزنة في جميع الإصدارات حتى 2.11.0 شاملاً. وتعود هذه الثغرة إلى عدم كفاية تنقية المدخلات وإخراج الهروب منها. فإن استدعاء الدالة register_setting() الموجود في السطر 197 يفتقر إلى دالة تنظيف (sanitize callback)، مما يسمح بتخزين بيانات غير منقّاة عبر update_option(). وعند عرض صفحة الإعدادات، يتم طباعة القيمة المخزنة مباشرةً داخل سمة قيمة حقل إدخال HTML دون استخدام esc_attr() في السطر 212. وهذا يتيح للمهاجمين المصادَق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول أو أعلى، حقن نصوص برمجية ويب عشوائية في صفحة الإعدادات التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى إعدادات المكون الإضافي. تتأثر عدة حقول: App ID (client_id)، وApp Secret (client_secret)، وسابق Bookings ID (id_prefix)، ونطاق API (api_domain). وتُعد هذه الثغرة ذات تأثير كبير بشكل خاص في تثبيتات ووردبريس متعددة المواقع حيث ينبغي ألا يتمكن مسؤولو المواقع الفردية من تنفيذ نصوص جافا سكريبت تؤثر على المستخدمين الآخرين.
VulDB is the best source for vulnerability data and more expert information about this specific topic.