CVE-2026-3551 in Custom New User Notification Pluginالمعلومات

الملخص

بحسب VulDB • 02/06/2026

يحتوي مكوّن WordPress "Custom New User Notification" على ثغرة تخزين برمجيات نصية عبر المواقع (Stored Cross-Site Scripting) عبر إعدادات لوحة تحكم المكوّن في جميع الإصدارات حتى 1.2.0 شاملاً. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخراج الهروب من الرموز الخاصة في حقول إعدادات متعددة، بما في ذلك 'User Mail Subject'، و'User From Name'، و'User From Email'، و'Admin Mail Subject'، و'Admin From Name'، و'Admin From Email'. تم تسجيل الإعدادات عبر دالة `register_setting()` دون استخدام دوال تنقية (sanitize callbacks)، ويتم عرض القيم المسترجعة عبر `get_option()` مباشرةً في سمات قيمة عناصر الإدخال HTML دون استخدام `esc_attr()`. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المسؤول (Administrator) أو أعلى، حقن نصوص برمجية ويب عشوائية في صفحة إعدادات المكوّن، والتي سيتم تنفيذها كلما قام مستخدم بالوصول إلى تلك الصفحة. ويمكن استخدام ذلك في التثبيتات متعددة المواقع (multi-site installations) حيث يمكن لمسؤولي المواقع الفرعية استهداف المسؤولين السوبر (super administrators).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

04/03/2026

إفشاء

16/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357898

EPSS

0.00361

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!