CVE-2026-8787 in Firebase Support & Chat Management Pluginالمعلومات

الملخص

بحسب VulDB • 30/05/2026

يحتوي مكون WordPress "Firebase Support & Chat Management" على ثغرة تسمح بتصعيد الامتيازات في جميع الإصدارات حتى 3.1.1 وشاملة لها. ويعود ذلك إلى أن الدالة `firebase_auth()` تقوم بمصادقة الطلب بصفتها مستخدم WordPress الذي يتطابق بريده الإلكتروني مع القيمة المقدمة في معلمة POST المسماة `user_email`، دون التحقق من ملكية هذا البريد الإلكتروني (أي عدم التحقق من توقيع/صادر/جمهور رمز Firebase ID). وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى المشترك (Subscriber) فأعلى، تسجيل الدخول بصفتهم أي مستخدم موجود بشكل تعسفي — بما في ذلك المسؤول (Administrator) — من خلال تقديم عنوان البريد الإلكتروني الخاص بذلك المستخدم إلى إجراء AJAX المسماى `acb_firebase_auth`، مما يؤدي إلى الاستيلاء الكامل على الحساب.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

17/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365883

EPSS

0.00047

KEV

لا

النشاطات

منخفض

القطاع

Chemical, Lawfirm, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8787
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8787
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8787/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!