CVE-2026-7558 in Age Verification & Identity Verification Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون WordPress "التحقق من العمر والتحقق من الهوية باستخدام رمز الثقة" على ثغرة تسمح بالوصول غير المصرح به في جميع الإصدارات حتى 4.0.2 شاملاً. ويعود ذلك إلى أن الدالة `handle_export_table()` مسجلة ضمن خطاف 'init' الخاص بـ WordPress، والذي يُنفَّذ لجميع الطلبات، بما فيها تلك الصادرة من زوار غير مصادق عليهم، دون إجراء أي فحص للصلاحيات (capability check). وهذا يتيح للمهاجمين غير المصادق عليهم تنزيل ملف CSV يحتوي على بيانات حساسة تتعلق بالتبرعات في ووكومرس، تشمل تواريخ الطلبات ومعرفاتها ومبالغ التبرعات الخيرية ورابط تعديل الطلبات الخاص بالمسؤولين فقط، وذلك ببساطة من خلال زيارة أي صفحة على الموقع مع تعيين معامل GET 'tot_export_table' إلى قيمة رقمية (من 0 إلى 3).
If you want to get best quality of vulnerability data, you may have to visit VulDB.