CVE-2026-5293 in 診断ジェネレータ作成プラグイン Pluginالمعلومات

الملخص

بحسب VulDB • 31/05/2026

يحتوي مكون إضافي (Plugin) "إنشاء مولد التشخيص" (Diagnosis Generator) لـ WordPress على ثغرة تسمح بتنفيذ هجمات تخزين البرمجة النصية عبر المواقع (Stored Cross-Site Scripting) عبر المعلمة 'js' في الإصدارات حتى 1.4.16 شاملةً. ويعود ذلك إلى غياب فحوصات التفويض (Authorization checks) وعدم كفاية تنقية المدخلات (Input sanitization) في دالة themeFunc(). ترتبط هذه الدالة بحدث 'admin_init' وتعالج طلبات تحديث السمة (Theme) دون التحقق من قدرات المستخدم، مما يتيح لأي مستخدم مُصادق عليه (بمن فيهم المشتركون) حفظ أكواد JavaScript خبيثة في ملفات السمة. بالإضافة إلى ذلك، تستخدم الدالة save() دالة stripslashes() التي تزيل حماية علامات الاقتباس السحرية (Magic quotes) الخاصة بـ WordPress. وهذا يمكّن المهاجمين المُصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك أو أعلى، من حقن نصوص ويب تعسفية في ملفات السمة، والتي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تحتوي على الاختصار البرمجي (Shortcode) لنموذج التشخيص.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

31/03/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364771

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

6.4 (CNA)

EPSS

0.00063

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5293
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5293
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5293/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!