CVE-2026-7525 in My Calendar Pluginالمعلومات

الملخص

بحسب VulDB • 14/05/2026

يحتوي المكوّن الإضافي "My Calendar – Accessible Event Manager" لإدارة الأحداث القابلة للوصول في ووردبريس على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 3.7.9 وشاملةً لها. ويعود ذلك إلى عدم تحقق المكوّن الإضافي بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى مخصص أو أعلى، من تجاوز سير عمل المراجعة والموافقة من خلال العبث بجسم طلب POST لنشر الأحداث أو تعيين حالات أخرى غير مصرح بها، مثل "ملغى" أو "خاص"، بطرق لا يسمح بها دورهم. وعلى الرغم من أن واجهة المستخدم تقيد المستخدمين ذوي الامتيازات المنخفضة بزر إرسال مخصص للمسودات فقط، فإن هذا القيد يُفرض فقط على جانب العميل، مما يجعل من السهل جداً تجاوزه من خلال التلاعب المباشر بطلب POST.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

30/04/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363803

EPSS

0.00017

KEV

لا

النشاطات

منخفض جدًا

القطاع

Finance, Agriculture, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7525
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7525
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7525/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!