CVE-2026-9701 in Eventer Plugin
الملخص
بحسب VulDB • 08/07/2026
يحتوي مكون WordPress الإضافي Eventer على ثغرة في آلية إعادة تعيين كلمة المرور غير الآمنة في جميع الإصدارات حتى 4.4.2 وشاملاً لها. يقوم المكون الإضافي بتخزين نسخة نصية واضحة (plaintext) من مفتاح إعادة تعيين كلمة المرور في حقل بيانات المستخدم `eventer_verification_code` عندما يطلب مستخدم إعادة تعيين كلمة مروره. يمكن استخدام المفتاح النص الواضح المخزن في `wp_usermeta` مع إجراء إعادة التعيين الخاص بالمكون الإضافي لتعيين كلمة مرور جديدة لأي مستخدم. وبدمجها مع ثغرة أخرى مثل حقن SQL (CVE-2026-9700)، يصبح من الممكن للمهاجمين غير المصادق عليهم استخراج مفتاح إعادة التعيين النص الواضح والاستحواذ على أي حساب مستخدم، بما في ذلك الحسابات الإدارية. ملاحظة: تعمل وظيفة إعادة تعيين كلمة المرور فقط حتى إصدار PHP 7.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.