الثغرات ›

CVE-2025-14835

مرتفع

ثغرة حقن البرمجيات النصية عبر المواقع في إضافة WP Photo Album Plus عبر معامل Shortcode

CWE-80 — نوع الضعف

                    نُشر: Jan 7, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The WP Photo Album Plus plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the ‘shortcode’ parameter in all versions up to, and including, 9.1.05.008 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

🤖 ملخص AI

WP Photo Album Plus plugin for WordPress contains a reflected XSS vulnerability in the 'shortcode' parameter affecting versions up to 9.1.05.008. Unauthenticated attackers can inject malicious scripts that execute when users click on crafted links.

📄 الوصف (العربية)

تحتوي إضافة WP Photo Album Plus على ثغرة XSS منعكسة في معامل 'shortcode' بسبب عدم كفاية تنظيف المدخلات والتحقق من المخرجات. يمكن للمهاجمين غير المصرحين حقن نصوص ويب عشوائية تُنفذ عند نقر المستخدمين على روابط مصنوعة خصيصاً.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 10, 2026 06:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1598.003 T1566.002 T1204.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update WP Photo Album Plus plugin to version 9.1.05.009 or later immediately. Implement Web Application Firewall (WAF) rules to filter malicious shortcode parameters. Conduct security awareness training for users regarding suspicious links. Monitor WordPress logs for exploitation attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة WP Photo Album Plus إلى الإصدار 9.1.05.009 أو أحدث فوراً. طبق قواعد جدار حماية تطبيقات الويب لتصفية معاملات shortcode الضارة. أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن الروابط المريبة. راقب سجلات WordPress لمحاولات الاستغلال.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.3.1 5.3.2

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 6

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-aja...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-aja...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-fil...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/wp-photo-album-plus/tags/9.1.05.004/wppa-fun...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=342763...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/0903521d-3b07-4539-97c9-15e6b...

security@wordfence.com

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-80

EPSS0.13%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-07

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-80

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-14835

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب