CVE-2026-3897 in Addons for Beaver Builder Pluginالمعلومات

الملخص

بحسب VulDB • 27/05/2026

يوجد ثغرة في إضافة Livemesh Addons for Beaver Builder لـ WordPress تسمح بتنفيذ نصوص برمجية عبر المواقع (XSS) مخزنة عبر إجراء AJAX المسمى `labb_admin_ajax` في جميع الإصدارات حتى 3.9.2 وشاملةً لها، وذلك بسبب غياب فحوصات التفويض وعدم كفاية تنقية المدخلات. يتحقق معالج AJAX من قيمة nonce لكنه لا يتحقق من قدرات المستخدم. وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولاً بمستوى المشترك (Subscriber) فأعلى تعديل إعدادات الإضافة وإدراج نصوص برمجية خبيثة تُنفَّذ عند وصول المسؤولين إلى صفحة إعدادات الإضافة أو عند زيارة أي شخص للواجهة الأمامية.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

10/03/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365960

EPSS

0.00030

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3897
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3897
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3897/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!