الثغرات ›

CVE-2026-5371

مرتفع

CWE-862 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The MonsterInsights – Google Analytics Dashboard for WordPress (Website Stats Made Easy) plugin for WordPress is vulnerable to unauthorized access and modification of data due to a missing capability checks on the get_ads_access_token() and reset_experience() functions in all versions up to, and including, 10.1.2. This makes it possible for authenticated attackers, with Subscriber-level access and above, to retrieve live Google OAuth access tokens and reset Plugins's Google Ads integration.

🤖 ملخص AI

MonsterInsights WordPress plugin versions up to 10.1.2 lack proper capability checks in OAuth token and settings functions, allowing authenticated subscribers to retrieve Google access tokens and reset configurations. This vulnerability enables unauthorized access to sensitive Google Analytics and Ads data for any WordPress site using the affected plugin.

📄 الوصف (العربية)

يفتقد مكون MonsterInsights للتحقق من صلاحيات المستخدم في دوال الحصول على رموز OAuth وإعادة تعيين التجربة، مما يسمح للمستخدمين المصرح لهم بمستوى المشترك أو أعلى بالوصول إلى رموز Google OAuth الحية. يمكن للمهاجمين استخدام هذه الرموز للوصول إلى بيانات Google Analytics و Google Ads الحساسة وتعديل إعدادات التكامل.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 21, 2026 06:01

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1087.004 T1526 T1552.007

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update MonsterInsights plugin to version 10.1.3 or later immediately. Review user roles and remove unnecessary Subscriber-level access. Audit Google OAuth token access logs and revoke compromised tokens from Google Cloud Console. Implement Web Application Firewall rules to monitor suspicious plugin API calls.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون MonsterInsights إلى الإصدار 10.1.3 أو أحدث فوراً. راجع أدوار المستخدمين وأزل الوصول غير الضروري على مستوى المشترك. تدقيق سجلات الوصول إلى رموز OAuth وإلغاء الرموز المخترقة من وحدة تحكم Google Cloud. تطبيق قواعد جدار الحماية لمراقبة استدعاءات API المريبة للمكون.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://plugins.trac.wordpress.org/browser/google-analytics-for-wordpress/tags/10.0.3/i...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/google-analytics-for-wordpress/tags/10.0.3/i...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/google-analytics-for-wordpress/tags/10.0.3/i...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/5d380b66-675e-451d-a7e3-4efe1...

security@wordfence.com

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-862

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-5371

عرّفنا بنفسك

تسجيل الدخول مطلوب