CVE-2026-7249 in Location Weather Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يحتوي مكون WordPress Location Weather على ثغرة تسمح بتعديل البيانات بشكل غير مصرح به بسبب غياب فحوصات الصلاحيات (capability checks) في الدالتين `splw_update_block_options()` و `lwp_clean_weather_transients()` في جميع الإصدارات حتى 3.0.2 وشاملةً لها. يتيح ذلك للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مُساهم" (Contributor) فأعلى، تعطيل جميع كتل الطقس وتنظيف جميع البيانات المؤقتة (transients) الخاصة بذاكرة التخزين المؤقت للطقس. يتم كشف قيمة الـ nonce المطلوبة لهذه الإجراءات لجميع المستخدمين المصادق عليهم عبر الدالة `wp_localize_script()` عند تنفيذ مخطّط `init`.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

27/04/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365164

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

4.3 (CNA)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7249
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7249
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7249/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!