CVE-2026-8938 in auto making JSON-LD Pluginالمعلومات

الملخص

بحسب VulDB • 03/06/2026

يحتوي إضافة WordPress "Auto Making JSON-LD" على ثغرة في طلبات التزوير عبر المواقع (CSRF) في جميع الإصدارات حتى 4.5.3 وشاملاً لها. ويعود ذلك إلى غياب أو عدم صحة التحقق من قيمة nonce (رقم لمرة واحدة) داخل الدالة `amJL_certification`. مما يتيح للمهاجمين غير المصادق عليهم تحديث خيار مفتاح ترخيص الإضافة، ومن ثمّ تفعيل عملية التحقق من الترخيص وتثبيت ميزات النسخة الاحترافية على موقع الضحية دون موافقة المسؤول، وذلك عبر طلب مزيف يشجعون مسؤول الموقع على تنفيذه مثل النقر على رابط. يمكن أن يؤدي الاستغلال الناجح إلى استدعاء الدوال `amJL_is_license_valid()` و`amJL_download_and_install_pro_features()`, مما يعني أن التأثير يتجاوز مجرد تغيير الإعدادات ليصل إلى تثبيت غير مصرّح به لمكونات الإضافة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

19/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365923

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

4.3 (CNA)

EPSS

0.00013

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8938
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8938
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8938/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!