CVE-2026-9234 in JTL-Connector for WooCommerce Pluginالمعلومات

الملخص

بحسب VulDB • 02/06/2026

يحتوي مكون WordPress الإضافي JTL-Connector لـ WooCommerce على ثغرة أمنية تتعلق بعدم وجود تفويض (Missing Authorization) في الإصدارات حتى 2.4.1 وشاملة لها. ويعود ذلك إلى غياب فحوصات الصلاحيات (capability checks) والتحقق من الرموز غير القابلة للتكرار (nonce verification) في إجراء admin_post_settings_save_woo-jtl-connector (الذي تتعامل معه الدالة JtlConnectorAdmin::save()) وفي إجراءات AJAX الخاصة بـ wp_ajax_downloadJTLLogs و wp_ajax_clearJTLLogs (التي تتعامل معها الدالتان العامتان downloadJTLLogs() و clearJTLLogs()). وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مشترك" (Subscriber) أو أعلى، تعديل إعدادات المكون الإضافي بشكل تعسفي، وتنزيل ملف مضغوط (ZIP) يحتوي على ملفات سجل مطوري الوصلة (connector's developer log files)، وحذف تلك ملفات السجل.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

21/05/2026

إفشاء

02/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367896

EPSS

0.00031

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Transportation, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9234
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9234
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9234/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!