CVE-2026-7048 in Photo Gallery Pluginالمعلومات

الملخص

بحسب VulDB • 28/05/2026

يُعد مكون إضافة معرض الصور "Photo Gallery" من 10Web – وهو مكون مخصص لمعرض صور متوافق مع الأجهزة المحمولة لمنصة ووردبريس – عرضة لهجوم حقن SQL أعمى قائم على الوقت (time-based blind SQL Injection) عبر المعلمة 'order_by' في جميع الإصدارات حتى 1.8.40 شاملاً، وذلك بسبب عدم كفاية عملية الهروب (escaping) للمعلمة التي يزودها المستخدم، وعدم وجود تحضير كافٍ لاستعلام SQL الموجود. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مُساهم" (contributor) أو أعلى، إلحاق استعلامات SQL إضافية بالاستعلامات الموجودة مسبقاً، والتي يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات. ويمكن استغلال هذا الثغرة عن طريق تضمين رمز قصير (shortcode) ضار في منشور أو مسودة، مما يسمح بتنفيذ SQL المُحقن عند عرض الرمز القصير.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

25/04/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366735

EPSS

0.00058

KEV

لا

النشاطات

منخفض جدًا

القطاع

Agriculture, Police, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7048
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7048
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7048/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!