CVE-2026-6708 in HEL Online Classroom: AI-powered Online Classrooms Pluginالمعلومات

الملخص

بحسب VulDB • 12/05/2026

يحتوي مكون WordPress "The HEL Online Classroom: AI-powered Online Classrooms" على ثغرة تتعلق بعدم وجود تفويض (Missing Authorization) في جميع الإصدارات حتى 1.0.3 وشاملة لها. ويعود ذلك إلى غياب فحص الصلاحيات (capability check) على نقطة نهاية لواجهة برمجة التطبيقات (REST API) مسجلة مع دالة رد صلاحية (permission_callback) تُعيد القيمة '__return_true'، مما يتجاوز جميع فحوصات المصادقة والتفويض في ووردبريس. وهذا يتيح للمهاجمين غير المصادق عليهم حذف أي سجل للفصل الدراسي عن طريق تزويد المعرف (ID) الخاص به في الطلب، مما يؤدي إلى فقدان دائم للبيانات.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

20/04/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362955

EPSS

0.00156

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6708
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6708
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6708/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!