الثغرات ›

CVE-2026-3642

متوسط

CWE-862 — نوع الضعف

                    نُشر: Apr 15, 2026                      ·  آخر تحديث: Apr 18, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The e-shot™ form builder plugin for WordPress is vulnerable to Missing Authorization in all versions up to and including 1.0.2. The eshot_form_builder_update_field_data() AJAX handler lacks any capability checks (current_user_can()) or nonce verification (check_ajax_referer()/wp_verify_nonce()). The function is registered via the wp_ajax_ hook, making it accessible to any authenticated user. This makes it possible for authenticated attackers, with Subscriber-level access and above, to modify form field configurations including mandatory status, field visibility, and form display preferences via the eshot_form_builder_update_field_data AJAX action.

🤖 ملخص AI

The e-shot form builder WordPress plugin versions up to 1.0.2 lacks authorization checks in its AJAX handler, allowing authenticated users with minimal privileges to modify form field configurations. Attackers can alter mandatory status, visibility settings, and display preferences without proper capability verification.

📄 الوصف (العربية)

إضافة منشئ النماذج e-shot لـ ووردبريس تحتوي على ثغرة نقص التفويض في معالج AJAX eshot_form_builder_update_field_data الذي يفتقر إلى فحوصات الصلاحيات والتحقق من nonce. يمكن لأي مستخدم مصرح (حتى مستخدمي المشتركين) تعديل إعدادات حقول النماذج بما في ذلك الحالة الإلزامية والرؤية والتفضيلات. هذا يسمح بتعديل غير مصرح للنماذج وقد يؤدي إلى تعطيل العمليات التجارية.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 04:00

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1548 T1078

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update the e-shot form builder plugin to version 1.0.3 or later immediately. Implement capability checks using current_user_can() and nonce verification using wp_verify_nonce() in the eshot_form_builder_update_field_data AJAX handler. Restrict access to administrator or editor roles only. Audit all form modifications in WordPress logs.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة منشئ النماذج e-shot إلى الإصدار 1.0.3 أو أحدث فوراً. قم بتنفيذ فحوصات الصلاحيات باستخدام current_user_can() والتحقق من nonce باستخدام wp_verify_nonce() في معالج AJAX. قصر الوصول على أدوار المسؤول أو المحرر فقط. قم بتدقيق جميع تعديلات النماذج في سجلات ووردبريس.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 5

🔗

https://plugins.trac.wordpress.org/browser/e-shot-form-builder/tags/1.0.2/admin/class-e...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/e-shot-form-builder/tags/1.0.2/includes/clas...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/e-shot-form-builder/trunk/admin/class-eshotf...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/e-shot-form-builder/trunk/includes/class-esh...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/815bd708-b2f8-4add-901b-863fb...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-862

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-15

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-3642

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب