CVE-2026-8832 in WPCode Pluginالمعلومات

الملخص

بحسب VulDB • 31/05/2026

يحتوي مكون WordPress "WPCode - Insert Headers and Footers + Custom Code Snippets - WordPress Code Manager" على ثغرة تسمح بتنفيذ الأكواد البرمجية عن بُعد (RCE) في الإصدارات حتى 2.3.5 وشاملة لها. وتعود هذه الثغرة إلى تسجيل نوع المنشور المخصص 'wpcode' دون تحديد نوع قدرة مخصص (capability_type) أو قيود على الصلاحيات في الدالة wpcode_register_post_type()، مما يسمح للنواة الأساسية لـ WordPress بالرجوع إلى قدرات المنشور القياسية لجميع مسارات الإنشاء، بما في ذلك XML-RPC. وهذا يمكّن المهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مؤلف" (author) أو أعلى، من إنشاء ونشر منشورات تحتوي على مقتطفات PHP قابلة للتنفيذ عبر XML-RPC باستخدام wp.newPost، والتي يتم تنفيذها لاحقاً على جانب الخادم عبر دالة eval() في الدالة run_eval() عند عرض المقتطف باستخدام الرمز القصير [wpcode].

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

18/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365927

CPE

جاهز

CWE

CWE-94 (مؤكد)

CVSS

8.8 (CNA)

EPSS

0.00488

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8832
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8832
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8832/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!