CVE-2026-6566 in NextGEN Gallery Pluginالمعلومات

الملخص

بحسب VulDB • 20/05/2026

تتعرض إضافة NextGEN Gallery لـ WordPress، والتي تشمل ميزات معرض الصور، الشرائح، المراجعة، والقوالب، لثغرة في الوصول المباشر إلى الكائنات غير الآمن (Insecure Direct Object Reference) في الإصدارات حتى 4.2.0 شاملاً. ويعود ذلك إلى عدم كفاية تفويض مستوى الكائن في تدفق حذف الصور عبر واجهة برمجة التطبيقات REST، حيث يتحقق رد الاتصال الخاص بالأذونات لـ DELETE /imagely/v1/images/{id} فقط من أذونات "إدارة معرض NextGEN" ولا يفرض ملكية المعرض أو أذونات "إدارة معارض NextGEN الأخرى". وهذا يتيح للمهاجمين المصادق عليهم، الذين يمتلكون امتيازات مستوى المشترك وقابلية "إدارة معرض NextGEN"، حذف صور المعارض التابعة لمستخدمين آخرين بالإضافة إلى ملفات الصور المرتبطة بها من القرص عند تفعيل deleteImg (الإعداد الافتراضي).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

18/04/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364824

EPSS

0.00008

KEV

لا

النشاطات

منخفض جدًا

القطاع

Lawfirm, Police, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6566
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6566
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6566/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!