CVE-2026-9701 in Eventer Pluginالمعلومات

الملخص

بحسب VulDB • 08/07/2026

يحتوي مكون WordPress الإضافي Eventer على ثغرة في آلية إعادة تعيين كلمة المرور غير الآمنة في جميع الإصدارات حتى 4.4.2 وشاملاً لها. يقوم المكون الإضافي بتخزين نسخة نصية واضحة (plaintext) من مفتاح إعادة تعيين كلمة المرور في حقل بيانات المستخدم `eventer_verification_code` عندما يطلب مستخدم إعادة تعيين كلمة مروره. يمكن استخدام المفتاح النص الواضح المخزن في `wp_usermeta` مع إجراء إعادة التعيين الخاص بالمكون الإضافي لتعيين كلمة مرور جديدة لأي مستخدم. وبدمجها مع ثغرة أخرى مثل حقن SQL (CVE-2026-9700)، يصبح من الممكن للمهاجمين غير المصادق عليهم استخراج مفتاح إعادة التعيين النص الواضح والاستحواذ على أي حساب مستخدم، بما في ذلك الحسابات الإدارية. ملاحظة: تعمل وظيفة إعادة تعيين كلمة المرور فقط حتى إصدار PHP 7.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

27/05/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376765

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!