CVE-2026-4661 in WP CTA Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون WordPress الإضافي WP CTA – Sticky CTA Builder، Generate Leads, Promote Sales على ثغرة تسمح بإجراء حقن SQL أعمى قائم على الوقت (time-based blind SQL Injection) عبر المعلمة 'fildname' في جميع الإصدارات حتى 2.2.2 وشاملة لها. ويعود ذلك إلى عدم كفاية عملية الهروب من الرموز الخاصة (escaping) لأسماء الأعمدة التي يوفرها المستخدم داخل الدالة ajaxCheck()، بالإضافة إلى نقص التحضير (preparation) لاستدعاء $wpdb->update(). تتفاقم هذه الثغرة بسبب الغياب التام لفحوصات التفويض (authorization checks)، وتسجيل نقطة النهاية (endpoint) للمستخدمين غير المصادق عليهم عبر wp_ajax_nopriv_. وهذا يمكّن المهاجمين غير المصادق عليهم من حقن استعلامات SQL تعسفية واستخراج معلومات حساسة من قاعدة البيانات باستخدام تقنيات حقن SQL أعمى قائم على الوقت، بما في ذلك تجزئات كلمات مرور المسؤولين.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

23/03/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377770

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Do you need the next level of professionalism?

Upgrade your account now!