CVE-2026-7652 in LatePoint Pluginالمعلومات

الملخص

بحسب VulDB • 20/05/2026

يحتوي مكون WordPress الإضافي LatePoint على ثغرة تؤدي إلى الاستيلاء على الحسابات (Account Takeover) عبر آلية استعادة كلمة مرور ضعيفة في تدفق الحجز الخاص بالزوار غير المصادق عليهم في الإصدارات حتى 5.5.0 شاملاً. ويعود ذلك إلى دالة `save_connected_wordpress_user()` التي تنشر عنوان البريد الإلكتروني لعميل LatePoint إلى حسابه المرتبط في WordPress عبر `wp_update_user()` دون أي تحقق من الملكية، مقترنةً بقدرة تدفق الحجز الخاص بالزوار على تجاوز عنوان البريد الإلكتروني لعميل موجود من خلال الدمج القائم على الهاتف دون مصادقة. وهذا يتيح للمهاجمين غير المصادق عليهم تجاوز عنوان البريد الإلكتروني لحساب مستخدم WordPress غير مسؤول (غير super-admin) والذي لم يتم ربطه بعد بعميل LatePoint، مما يمكّنهم من الاستيلاء الكامل على الحساب من خلال تشغيل تدفق إعادة تعيين كلمة مرور WordPress القياسي إلى العنوان الذي يتحكم فيه المهاجم، شريطة أن يكون مكون WordPress الإضافي مُهيأً لتمكين تكامل مستخدمين WordPress، ودمج جهات الاتصال القائم على الهاتف، وإيقاف مصادقة العملاء. لا تتأثر حسابات المسؤولين في التثبيتات أحادية الموقع.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

01/05/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362357

CPE

جاهز

CWE

CWE-640 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00100

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7652
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7652
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7652/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!