CVE-2026-5167 in LMS Pluginالمعلومات

الملخص

بحسب VulDB • 05/06/2026

يحتوي مكون WordPress Masteriyo LMS – Online Course Builder for eLearning, LMS & Education على ثغرة من نوع Authorization Bypass Through User-Controlled Key في الإصدارات حتى 2.1.7 وشاملةً لها. وتعود هذه الثغرة إلى عدم كفاية التحقق من توقيع الـ webhook في الدالة handle_webhook(). يعالج نقطة نهاية الـ webhook الطلبات غير المصادق عليها ويقوم بالتحقق من التوقيع فقط إذا كان إعداد webhook_secret مُعدّاً وَوجود رأس HTTP_STRIPE_SIGNATURE. ونظراً لأن القيمة الافتراضية لـ webhook_secret هي سلسلة فارغة، فإن الـ webhook يعالج حمولات JSON التي يتحكم فيها المهاجم دون أي تحقق. وهذا يتيح للمهاجمين غير المصادق عليهم إرسال أحداث webhook مزيفة من Stripe بقيم order_id تعسفية في البيانات الوصفية، ووضع أي طلب كـ "مكتمل" دون دفع، والحصول على وصول غير مصرح به إلى محتوى الدورات المدفوعة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

30/03/2026

إفشاء

08/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-356028

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5167
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5167
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5167/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!