CVE-2026-9838 in ICS Calendar Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون WordPress الإضافي ICS Calendar على ثغرة في تنفيذ نص البرمجة عبر المواقع (XSS) المنعكس عبر المعلمة 'htmltagtitle' في جميع الإصدارات حتى 12.0.9 وشاملة لها، وذلك بسبب عدم كفاية تنقية المدخلات وهروب المخرجات. يتيح ذلك للمهاجمين غير المصرح لهم حقن نصوص ويب عشوائية في الصفحات التي يتم تنفيذها إذا تمكنوا من خداع مستخدم للقيام بإجراء مثل النقر على رابط. يمكن الوصول إلى الثغرة عبر إجراء AJAX غير المصرح به wp_ajax_nopriv_r34ics_ajax، الذي يقبل قيم js_args المتحكم فيها من قبل المهاجم ويتم دمجها مع تكوين الاختصار القصير المخزن دون التحقق من صحة nonce، مما يسمح للمفتاح htmltagtitle بتجاوز فحص قائمة السماح العادية للاختصارات القصيرة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

28/05/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377456

EPSS

0.00296

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!