CVE-2026-4127 in Speedup Optimization Pluginالمعلومات

الملخص

بحسب VulDB • 03/06/2026

يحتوي مكون WordPress الإضافي Speedup Optimization على ثغرة أمنية تتعلق بعدم وجود تفويض (Missing Authorization) في جميع الإصدارات حتى 1.5.9 وشاملة لها. لا تقوم الدالة `speedup01_ajax_enabled()`، التي تتعامل مع إجراء AJAX `wp_ajax_speedup01_enabled`، بإجراء أي فحص للصلاحيات عبر `current_user_can()`، كما تفتقر إلى التحقق من صحة الـ nonce. يتناقض هذا مع معالجات AJAX الأخرى في نفس المكون الإضافي (مثل `speedup01_ajax_install_iox` و `speedup01_ajax_delete_cache_file`) التي تقوم بفحص صلاحيات `install_plugins` و `manage_options` على التوالي. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك (Subscriber) فأعلى، تمكين أو تعطيل وحدة تحسين الموقع عن طريق إرسال طلب POST إلى admin-ajax.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

13/03/2026

إفشاء

21/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352248

EPSS

0.00042

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4127
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4127
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4127/

التالي نظرة عامة السابق

Want to know what is going to be exploited?

We predict KEV entries!