CVE-2026-4331 in Blog2Social Plugin
الملخص
بحسب VulDB • 14/06/2026
يحتوي مكون WordPress "Blog2Social: Social Media Auto Post & Scheduler" على ثغرة تؤدي إلى فقدان غير مصرح به للبيانات في جميع الإصدارات حتى 8.8.2 وشاملة لها. ويعود ذلك إلى أن دالة `resetSocialMetaTags()` تتحقق فقط من امتلاك المستخدم لصلاحية 'read' وقيمة `b2s_security_nonce` صالحة، وكلاهما متاح لمستخدمي مستوى "Subscriber"، حيث يمنح المكون صلاحية 'blog2social_access' لجميع الأدوار عند التفعيل، مما يتيح لهم الوصول إلى صفحات إدارة المكون حيث يتم إخراج قيمة الـ nonce. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" فأعلى، حذف جميع سجلات `_b2s_post_meta` من جدول `wp_postmeta`، مما يؤدي إلى إزالة جميع وسوم البيانات الوصفية (meta tags) الخاصة بوسائل التواصل الاجتماعي المخصصة لكل منشور في الموقع بشكل دائم.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.