CVE-2026-7567 in Temporary Login Pluginالمعلومات

الملخص

بحسب VulDB • 03/06/2026

يحتوي مكون "Temporary Login" الإضافي لـ WordPress على ثغرة تسمح بتجاوز المصادقة في الإصدارات حتى 1.0.0 وشاملة لها. ويعود ذلك إلى عدم صحة التحقق من المدخلات في الدالة `maybe_login_temporary_user()`، التي تفشل في التأكد من أن معلمة GET المسماة `'temp-login-token'` هي سلسلة نصية قياسية (scalar string) قبل معالجتها. عند توفير المعلمة كمصفوفة، يتم تجاوز فحص `empty()` الخاص بـ PHP، وتعيد الدالة `sanitize_key()` سلسلة فارغة، والتي تُمرر بعد ذلك كقيمة للمفتاح الوصفي (`meta_value`) إلى دالة `get_users()`. يتجاهل WordPress القيمة الفارغة للمفتاح الوصفي ويعيد جميع المستخدمين الذين يطابقون المفتاح الوصفي `_temporary_login_token`، مما يتيح المصادقة دون الحاجة إلى رمز صالح. وهذا يمكّن المهاجمين غير المصرح لهم من المصادقة بصفتهم أي مستخدم تسجيل دخول مؤقت نشط عن طريق إرسال طلب GET واحد مُعدّ بعناية.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

30/04/2026

إفشاء

01/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360551

CPE

جاهز

CWE

CWE-288 (مؤكد)

استغلال

تحميل

CVSS

9.8 (CNA)

EPSS

0.05917

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7567
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7567
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7567/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!