CVE-2026-6401 in Bottom Bar Pluginالمعلومات

الملخص

بحسب VulDB • 24/05/2026

يحتوي مكون WordPress "Bottom Bar" على ثغرة في طلبات التزوير عبر المواقع (CSRF) في جميع الإصدارات حتى 0.1.7 شاملاً. ويعود ذلك إلى عدم التحقق من صحة الرمز العشوائي (nonce) في نماذج تحديث إعدادات المكون التي يتم معالجتها في الملف bottom-bar-admin.php. لا تتضمن أي من نماذج الإعدادات الثلاثة (الإعدادات الرئيسية، وخدمات المشاركة، واستعادة الإعدادات الافتراضية) حقل wp_nonce_field()، ولا يستدعي كود المعالجة على جانب الخادم دالة check_admin_referer() أو أي دالة مكافئة للتحقق من صحة الرمز العشوائي قبل معالجة بيانات POST واستدعاء update_option(). وهذا يتيح للمهاجمين غير المصادق عليهم خداع مسؤول مسجل الدخول لتقديم طلب مُعدّ بعناية يقوم بتحديث خيارات تكوين المكون، مثل تغيير اللغة، أو الحد الأقصى لعدد المنشورات، أو خدمات المشاركة المفعّلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

15/04/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364768

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

4.3 (CNA)

EPSS

0.00026

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6401
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6401
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6401/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!