Vulnerabilities ›

CVE-2022-50953

Medium

CWE-22 — Weakness Type

                    Published: Jun 8, 2026                      ·  Modified: Jun 10, 2026                      ·  Source: NVD                

CVSS v3

6.2

🔗 NVD Official

📄 Description (English)

WordPress Plugin admin-word-count-column 2.2 contains a local file read vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting null byte injection in the path parameter. Attackers can send GET requests to download-csv.php with a crafted path parameter containing directory traversal sequences and null bytes to bypass file restrictions and read sensitive files like system configuration.

🤖 AI Executive Summary

The admin-word-count-column WordPress plugin version 2.2 contains a local file read vulnerability allowing unauthenticated attackers to read arbitrary files through null byte injection and directory traversal in the path parameter. Attackers can exploit download-csv.php to access sensitive system configuration files and other protected data.

📄 Description (Arabic)

تحتوي إضافة WordPress admin-word-count-column الإصدار 2.2 على ثغرة في قراءة الملفات المحلية تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال استغلال حقن البايت الفارغ في معامل المسار. يمكن للمهاجمين إرسال طلبات GET إلى download-csv.php مع معامل مسار مصنوع يحتوي على تسلسلات اجتياز الدلائل وبايتات فارغة لتجاوز قيود الملفات والوصول إلى ملفات حساسة مثل إعدادات النظام.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: Jun 8, 2026 07:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1566

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the admin-word-count-column plugin to version 2.3 or later immediately. Implement input validation and sanitization for the path parameter, disable null byte handling in file operations, and restrict file access to designated directories only. Apply principle of least privilege to plugin execution and monitor file access logs for suspicious activity.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة admin-word-count-column إلى الإصدار 2.3 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لمعامل المسار، وعطّل معالجة البايت الفارغ في عمليات الملفات، وقيّد الوصول إلى الملفات في الدلائل المخصصة فقط. طبق مبدأ أقل صلاحية لتنفيذ الإضافة ومراقبة سجلات الوصول للملفات للنشاط المريب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.6.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.12.2.1 A.13.1.1 A.14.2.1

🔗 References & Sources 3

🔗

https://wordpress.org/plugins/admin-word-count-column/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/50845

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/wordpress-plugin-admin-word-count-column-local-fil...

disclosure@vulncheck.com

📊 CVSS Score

6.2

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.2

CWECWE-22

EPSS0.15%

Exploit No

Patch ✗ No

Published 2026-06-08

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2022-50953

Introduce Yourself

Sign In Required