CVE-2026-5743 in SimpLy Gallery Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون SimpLy Gallery Block & Lightbox الإضافي لـ WordPress على ثغرة تخزين برمجيات عبر المواقع (Stored Cross-Site Scripting) عبر سمات الكتلة في جميع الإصدارات حتى 3.3.3.2 وشاملاً لها. ويعود ذلك إلى عدم كفاية تنقية المدخلات وإخراج الهروب من سمة كتلة sliderMaxHeight في دالة pgc_sgb_render_callback(). توجد الثغرة لأن الدالة pgc_sgb_sanitize_custom_css() تستخدم نمط تعبير منتظم معيبًا يقوم فقط بإزالة معالجات الأحداث ذات القيم المحاطة بعلامات اقتباس (مثل onfocus="alert()") لكنه يفشل في التقاط معالجات الأحداث غير المحاطة بعلامات اقتباس (مثل onfocus=alert(document.cookie))، مما يسمح للرمز الخبيث بتجاوز التنقية. وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولاً بمستوى المؤلف وما فوقه حقن نصوص ويب عشوائية في الصفحات عبر سمات الكتلة التي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم الحقن فيها.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.