الثغرات ›

CVE-2025-14835

مرتفع

ثغرة حقن البرمجيات النصية عبر المواقع في إضافة WP Photo Album Plus عبر معامل Shortcode

CWE-80 — نوع الضعف

                    نُشر: Jan 7, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The WP Photo Album Plus plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the ‘shortcode’ parameter in all versions up to, and including, 9.1.05.008 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

🤖 ملخص AI

The WP Photo Album Plus plugin for WordPress versions up to 9.1.05.008 contains a Reflected Cross-Site Scripting (XSS) vulnerability in the 'shortcode' parameter due to insufficient input sanitization. Unauthenticated attackers can exploit this by tricking users into clicking malicious links, allowing arbitrary script execution in victim browsers with a CVSS score of 7.1.

📄 الوصف (العربية)

تمثل هذه الثغرة الأمنية خطراً متوسطاً إلى عالٍ على المواقع الإلكترونية التي تستخدم إضافة WP Photo Album Plus في ووردبريس. تنشأ الثغرة من عدم التحقق الكافي من المدخلات في معامل 'shortcode'، مما يسمح بحقن أكواد جافا سكريبت ضارة. يتطلب الاستغلال الناجح هندسة اجتماعية لخداع المستخدمين للنقر على روابط مصممة خصيصاً. عند النجاح، يمكن للمهاجم سرقة بيانات الجلسة، تنفيذ إجراءات نيابة عن المستخدم، أو إعادة توجيه الضحايا إلى مواقع تصيد احتيالي.

🤖 ملخص تنفيذي (AI)

تحتوي إضافة WP Photo Album Plus لنظام ووردبريس حتى الإصدار 9.1.05.008 على ثغرة حقن البرمجيات النصية المنعكسة عبر المواقع في معامل 'shortcode' بسبب عدم كفاية تنقية المدخلات. يمكن للمهاجمين غير المصادق عليهم استغلال هذه الثغرة بخداع المستخدمين للنقر على روابط ضارة، مما يسمح بتنفيذ برمجيات نصية تعسفية في متصفحات الضحايا بدرجة خطورة 7.1 حسب مقياس CVSS.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:43

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using WordPress with this plugin face risks of session hijacking, credential theft, and unauthorized access to administrative panels. Government entities, educational institutions, and businesses maintaining public-facing WordPress sites are particularly vulnerable to social engineering attacks targeting employees and citizens.

🏢 القطاعات السعودية المتأثرة

القطاع الحكومي التعليم الإعلام والنشر التجارة الإلكترونية الخدمات المالية الرعاية الصحية السياحة والضيافة

🎯 تقنيات MITRE ATT&CK

T1189 T1566.002 T1059.007 T1185 T1056.003

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify all WordPress installations using WP Photo Album Plus plugin version 9.1.05.008 or earlier and disable the plugin until a security patch is released by the vendor.

2. Implement Web Application Firewall (WAF) rules to detect and block XSS attempts targeting the 'shortcode' parameter, and enable Content Security Policy (CSP) headers to mitigate script injection attacks.

3. Conduct security awareness training for users on identifying phishing links and suspicious URLs, and monitor WordPress access logs for unusual activity patterns or XSS exploitation attempts.

🔧 خطوات المعالجة (العربية)

1. تحديد جميع تثبيتات ووردبريس التي تستخدم إضافة WP Photo Album Plus بإصدار 9.1.05.008 أو أقدم فوراً وتعطيل الإضافة حتى صدور تحديث أمني من المطور.

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لاكتشاف وحظر محاولات حقن البرمجيات النصية التي تستهدف معامل 'shortcode'، وتفعيل رؤوس سياسة أمان المحتوى (CSP) للحد من هجمات حقن البرمجيات النصية.

3. إجراء تدريب توعوي أمني للمستخدمين حول تحديد روابط التصيد الاحتيالي والعناوين المشبوهة، ومراقبة سجلات الوصول إلى ووردبريس لاكتشاف أنماط النشاط غير العادية أو محاولات استغلال الثغرة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-3-1 (Security Monitoring) ECC-4-1 (Application Security) ECC-5-1 (Cybersecurity Awareness)

🔵 SAMA CSF

CCC-1.1.1 (Asset Management) CCC-2.1.1 (Vulnerability Assessment) CCC-3.1.1 (Security Monitoring and Analysis) CCC-5.1.1 (Secure Development)

🟡 ISO 27001:2022

A.12.6.1 (Management of Technical Vulnerabilities) A.14.2.1 (Secure Development Policy) A.18.2.3 (Technical Compliance Review)

🔗 المراجع والمصادر 6

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-aja...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-aja...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-fil...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-fun...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=342763...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/0903521d-3b07-4539-97c9-15e6b...

security@wordfence.com

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-80

EPSS0.13%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-07

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-80

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-14835

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب