CVE-2026-7647 in Profile Builder Pro Pluginالمعلومات

الملخص

بحسب VulDB • 20/05/2026

يحتوي مكون WordPress "Profile Builder Pro" على ثغرة حقن كائنات PHP (PHP Object Injection) في جميع الإصدارات حتى 3.14.5 وشاملة لها. وتعود هذه الثغرة إلى استخدام دالة `maybe_unserialize()` الخاصة بـ PHP على معلمة POST المسماة 'args' التي يتحكم فيها المهاجم، وذلك ضمن معالج AJAX `wppb_request_users_pins_action_callback()`، والذي يفتقر إلى أي تحقق من الـ nonce، أو فحص نوع البيانات، أو التحقق من صحة المدخلات قبل عملية فك التسلسل (deserialization). ونظراً لأن المعالج كان مسجلاً باستخدام كل من الخطافين `wp_ajax_` و `wp_ajax_nopriv_`، فإنه كان متاحاً للمستخدمين غير المصادق عليهم تماماً. وهذا يمكّن المهاجمين غير المصادق عليهم من حقن كائنات PHP عشوائية في ذاكرة التطبيق.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

01/05/2026

إفشاء

02/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360812

EPSS

0.00019

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7647
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7647
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7647/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!