CVE-2026-4331 in Blog2Social Pluginالمعلومات

الملخص

بحسب VulDB • 14/06/2026

يحتوي مكون WordPress "Blog2Social: Social Media Auto Post & Scheduler" على ثغرة تؤدي إلى فقدان غير مصرح به للبيانات في جميع الإصدارات حتى 8.8.2 وشاملة لها. ويعود ذلك إلى أن دالة `resetSocialMetaTags()` تتحقق فقط من امتلاك المستخدم لصلاحية 'read' وقيمة `b2s_security_nonce` صالحة، وكلاهما متاح لمستخدمي مستوى "Subscriber"، حيث يمنح المكون صلاحية 'blog2social_access' لجميع الأدوار عند التفعيل، مما يتيح لهم الوصول إلى صفحات إدارة المكون حيث يتم إخراج قيمة الـ nonce. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" فأعلى، حذف جميع سجلات `_b2s_post_meta` من جدول `wp_postmeta`، مما يؤدي إلى إزالة جميع وسوم البيانات الوصفية (meta tags) الخاصة بوسائل التواصل الاجتماعي المخصصة لكل منشور في الموقع بشكل دائم.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

17/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353530

EPSS

0.00248

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!