CVE-2026-4665 in WP Carousel Free Pluginالمعلومات

الملخص

بحسب VulDB • 01/06/2026

يحتوي إضافة WP Carousel Free لـ WordPress على ثغرة تسمح بتنفيذ نصوص متقاطعة عبر المواقع مخزنة (Stored Cross-Site Scripting) عبر سمات `data-caption` مزيفة في fancybox في جميع الإصدارات حتى 2.7.10 شاملاً. ويعود ذلك إلى أن سكريبت `fancybox-config.js` يقرأ سمة `id` لحاوية العرض الشرائح مباشرةً من DOM لبناء محدد jQuery دون أي تنقية. عندما يقوم مساهم بإنشاء كتلة HTML تحتوي على معرف حاوية عرض شرائح غير صالح (يحتوي على أحرف غير مسموح بها لمحددات jQuery)، فإن تكوين fancybox المخصص يتسبب في حدوث خطأ في JavaScript ويفشل في التهيئة. يؤدي هذا إلى قيام مكتبة fancybox المرفقة (الإصدار 3.5.7) بالعودة إلى التعامل الافتراضي مع التسميات التوضيحية، والذي يعرض محتوى سمة `data-caption` كـ HTML خام. ونظراً لأن WordPress يسمح بسمات `data-*` عبر `wp_kses_post()`، فإن ذلك يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى مساهم أو أعلى، حق حقن نصوص برمجية ويب عشوائية في الصفحات التي سيتم تنفيذها كلما نقر مستخدم على صورة في نافذة العرض الخفيفة (lightbox) للعرض الشرائح المزيفة.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

23/03/2026

إفشاء

05/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361090

EPSS

0.00034

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4665
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4665
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4665/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!