الثغرات ›

CVE-2026-5207

متوسط

CWE-89 — نوع الضعف

                    نُشر: Apr 11, 2026                      ·  آخر تحديث: Apr 14, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The LifterLMS plugin for WordPress is vulnerable to SQL Injection via the 'order' parameter in all versions up to, and including, 9.2.1. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for authenticated attackers, with Instructor-level access and above who have the edit_post capability on the quiz, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

🤖 ملخص AI

LifterLMS WordPress plugin versions up to 9.2.1 contain SQL injection vulnerability in the 'order' parameter allowing authenticated attackers with Instructor-level access to extract sensitive database information. The vulnerability stems from insufficient escaping and lack of SQL query preparation, enabling attackers to append malicious SQL queries.

📄 الوصف (العربية)

ثغرة حقن SQL في إضافة LifterLMS للووردبريس تؤثر على جميع الإصدارات حتى 9.2.1 عبر معامل 'order' غير المحمي بشكل كافٍ. يمكن للمهاجمين المصرح لهم بمستوى المدرب الوصول إلى معلومات حساسة من قاعدة البيانات. تنجم الثغرة عن عدم كفاية الهروب من المدخلات وعدم تحضير الاستعلامات بشكل صحيح.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 11, 2026 05:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

education government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1110 T1078 T1005

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update LifterLMS plugin to version 9.2.2 or later immediately. Implement principle of least privilege by restricting Instructor-level access and edit_post capabilities. Monitor database logs for suspicious SQL queries. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Conduct security audit of all quiz-related functionality.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة LifterLMS إلى الإصدار 9.2.2 أو أحدث فوراً. طبق مبدأ أقل صلاحية بتقييد وصول مستوى المدرب وقدرات تحرير المنشورات. راقب سجلات قاعدة البيانات للاستعلامات المريبة. طبق قواعد جدار الحماية لتطبيقات الويب لكشف ومنع هجمات حقن SQL. أجرِ تدقيق أمني لجميع وظائف الاختبار.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 5

🔗

https://plugins.trac.wordpress.org/browser/lifterlms/trunk/includes/admin/reporting/tab...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/lifterlms/trunk/includes/admin/reporting/tab...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/lifterlms/trunk/includes/class.llms.ajax.han...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3495818/lifterlms/trunk/includes/admin/rep...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/43d31d1e-0f4f-4f51-8274-65015...

security@wordfence.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-89

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-11

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-89

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-5207

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب