الثغرات ›

CVE-2025-13493

مرتفع

ثغرة تصدير بيانات المستخدمين غير المصرح به في إضافة Latest Registered Users لووردبريس

CWE-862 — نوع الضعف

                    نُشر: Jan 7, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Latest Registered Users plugin for WordPress is vulnerable to unauthorized user data export in all versions up to, and including, 1.4. This is due to missing authorization and nonce validation in the rnd_handle_form_submit function hooked to both admin_post_my_simple_form and admin_post_nopriv_my_simple_form actions. This makes it possible for unauthenticated attackers to export complete user details (excluding passwords and sensitive tokens) in CSV format via the 'action' parameter.

🤖 ملخص AI

The Latest Registered Users WordPress plugin versions up to 1.4 allows unauthenticated attackers to export complete user details in CSV format due to missing authorization and nonce validation. This vulnerability enables unauthorized access to sensitive user information without requiring authentication.

📄 الوصف (العربية)

يحتوي المكون الإضافي Latest Registered Users لـ WordPress على ثغرة في دالة rnd_handle_form_submit التي تفتقد التحقق من الصلاحيات والتوكن. يمكن للمهاجمين غير المصرح لهم استخدام معامل 'action' لتصدير قائمة كاملة بتفاصيل المستخدمين بما في ذلك البيانات الشخصية والبريد الإلكتروني والمعلومات الأخرى.

🤖 ملخص تنفيذي (AI)

يسمح المكون الإضافي Latest Registered Users لـ WordPress بالإصدارات حتى 1.4 للمهاجمين غير المصرح لهم بتصدير تفاصيل المستخدمين الكاملة بصيغة CSV بسبب نقص التحقق من الصلاحيات والتوكن. تمكن هذه الثغرة من الوصول غير المصرح إلى معلومات المستخدمين الحساسة دون الحاجة للمصادقة.

🤖 التحليل الذكي آخر تحليل: May 3, 2026 17:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1087.001 T1020

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update the Latest Registered Users plugin to version 1.5 or later immediately. Implement proper authorization checks and nonce validation in the rnd_handle_form_submit function. Disable the plugin if immediate updates are unavailable. Monitor user export activities and audit logs for suspicious data access patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Latest Registered Users إلى الإصدار 1.5 أو أحدث فوراً. قم بتطبيق فحوصات الصلاحيات الصحيحة والتحقق من التوكن في دالة rnd_handle_form_submit. قم بتعطيل المكون إذا لم تتمكن من التحديث الفوري. راقب أنشطة تصدير المستخدمين وسجلات التدقيق للأنماط المريبة في الوصول إلى البيانات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/tags/1.4/latest-regi...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/trunk/latest-registe...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/latest-registered-users/trunk/latest-registe...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/e6139543-81e3-480a-93a4-1d87b...

security@wordfence.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-862

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-07

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-13493

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب