CVE-2026-5743 in SimpLy Gallery Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون SimpLy Gallery Block & Lightbox الإضافي لـ WordPress على ثغرة تخزين برمجيات عبر المواقع (Stored Cross-Site Scripting) عبر سمات الكتلة في جميع الإصدارات حتى 3.3.3.2 وشاملاً لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخراج الهروب من سمة كتلة sliderMaxHeight في دالة pgc_sgb_render_callback(). توجد الثغرة لأن الدالة pgc_sgb_sanitize_custom_css() تستخدم نمط تعبير منتظم معيبًا يقوم فقط بإزالة معالجات الأحداث ذات القيم المحاطة بعلامات اقتباس (مثل onfocus="alert()") لكنه يفشل في التقاط معالجات الأحداث غير المحاطة بعلامات اقتباس (مثل onfocus=alert(document.cookie))، مما يسمح للرمز الخبيث بتجاوز التنقية. وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولاً بمستوى المؤلف وما فوقه حقن نصوص ويب عشوائية في الصفحات عبر سمات الكتلة التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم الحقن فيها.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Wordfence

حجز

07/04/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377734

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!