الثغرات ›

CVE-2026-3347

متوسط

The Multi Functional Flexi Lightbox plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `arv_lb[message]` parameter in all versions up to, and including, 1.2 due to insufficient

CWE-79 — نوع الضعف

                    نُشر: Mar 21, 2026                      ·  آخر تحديث: Mar 23, 2026                      ·  المصدر: NVD                

CVSS v3

5.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Multi Functional Flexi Lightbox plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `arv_lb[message]` parameter in all versions up to, and including, 1.2 due to insufficient input sanitization and output escaping. This is due to the `arv_lb_options_val()` sanitize callback returning user input without any sanitization, and the stored `message` value being output in the `genLB()` function without escaping. This makes it possible for authenticated attackers, with Administrator-level access, to inject arbitrary web scripts in pages that will execute whenever a user accesses a page or post with the lightbox enabled.

🤖 ملخص AI

The Multi Functional Flexi Lightbox WordPress plugin versions up to 1.2 contains a Stored XSS vulnerability in the arv_lb[message] parameter due to insufficient input sanitization and output escaping. Authenticated administrators can inject malicious scripts that execute for all users viewing pages with the lightbox enabled.

📄 الوصف (العربية)

تحتوي إضافة Multi Functional Flexi Lightbox لـ WordPress على ثغرة Stored XSS في معامل arv_lb[message] حيث تفشل دالة arv_lb_options_val() في تنظيف المدخلات بشكل صحيح. يمكن للمسؤولين المصرح لهم حقن نصوص برمجية ضارة تُنفذ عند وصول أي مستخدم إلى صفحة تحتوي على Lightbox مفعل.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 25, 2026 17:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government banking healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update the Multi Functional Flexi Lightbox plugin to version 1.3 or later immediately. Implement strict input validation and output escaping for the arv_lb[message] parameter. Restrict administrator access to trusted users only and audit existing lightbox configurations for malicious content.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Multi Functional Flexi Lightbox إلى الإصدار 1.3 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والترميز الآمن لمعامل arv_lb[message]. قيد الوصول الإداري للمستخدمين الموثوقين فقط وتدقيق إعدادات Lightbox الموجودة للتحقق من المحتوى الضار.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2

🔵 SAMA CSF

ID.AM-2 PR.DS-1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 5

🔗

https://plugins.trac.wordpress.org/browser/multi-functional-flexi-lightbox/tags/1.2/opt...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/multi-functional-flexi-lightbox/tags/1.2/sp....

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/multi-functional-flexi-lightbox/trunk/option...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/multi-functional-flexi-lightbox/trunk/sp.php...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/a4c0b14a-d039-4008-a433-ab360...

security@wordfence.com

📊 CVSS Score

5.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.5

CWECWE-79

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-21

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-3347

عرّفنا بنفسك

تسجيل الدخول مطلوب