CVE-2026-8679 in AudioIgniter Music Player Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يحتوي مكون WordPress الإضافي AudioIgniter على ثغرة في مرجع الكائن المباشر غير الآمن (Insecure Direct Object Reference) في الإصدارات حتى 2.0.2 وشاملة لها. ويعود ذلك إلى أن الدالة handle_playlist_endpoint() (المربوطة بـ template_redirect) تقبل معرف قائمة تشغيل يتحكم فيه المستخدم عبر متغير الاستعلام audioigniter_playlist_id أو عبر قاعدة إعادة الكتابة /audioigniter/playlist/{id}/، وتعيد بيانات مسارات قائمة التشغيل دون إجراء أي تحقق من المصادقة، أو الصلاحيات، أو حالة المنشور (post_status) — بل يتم التحقق فقط من نوع المنشور (post_type). وهذا يتيح للمهاجمين غير المصادق عليهم عرض البيانات الوصفية للمسارات (العناوين، الفنانين، روابط الصوت، روابط الشراء، روابط التنزيل، والصور المصغرة) لأي قائمة تشغيل على الموقع، بما في ذلك تلك التي تكون في حالة مسودة، أو خاصة، أو قيد الانتظار، أو في سلة المحذوفات.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

15/05/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365171

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.27684

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8679
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8679
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8679/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!