الثغرات ›

CVE-2026-3173

متوسط

CWE-639 — نوع الضعف

                    نُشر: May 28, 2026                      ·  آخر تحديث: May 31, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Meta Field Block plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 1.5.1. This is due to the plugin allowing users to specify arbitrary object IDs and object types via block attributes without validating whether the authenticated user has permission to access the requested object's metadata. This makes it possible for authenticated attackers, with Contributor-level access and above, to read arbitrary user meta, post meta, and term meta data from any object in the database. On sites using plugins that store sensitive data in meta fields (e.g., WooCommerce billing/shipping information), this could lead to the exposure of Personally Identifiable Information (PII) including names, email addresses, phone numbers, and physical addresses.

🤖 ملخص AI

The Meta Field Block plugin for WordPress versions up to 1.5.1 contains an Insecure Direct Object Reference vulnerability allowing authenticated users to read arbitrary metadata from any database object. Attackers with Contributor-level access can expose sensitive PII including names, emails, phone numbers, and addresses stored in meta fields.

📄 الوصف (العربية)

ثغرة IDOR في إضافة Meta Field Block للـ WordPress تسمح للمستخدمين المصرحين بالوصول إلى البيانات الوصفية التعسفية من أي كائن في قاعدة البيانات دون التحقق من الأذونات. يمكن للمهاجمين الذين لديهم وصول على مستوى المساهم أو أعلى الوصول إلى معلومات حساسة مثل بيانات الفواتير والشحن من المتاجر الإلكترونية.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 08:27

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1087 T1526 T1087.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Meta Field Block plugin to version 1.5.2 or later immediately. Implement strict access controls and permission validation for all metadata access. Review user roles and restrict Contributor-level access if unnecessary. Audit logs for unauthorized metadata access attempts. Consider using Web Application Firewalls to detect and block suspicious metadata queries.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Meta Field Block إلى الإصدار 1.5.2 أو أحدث فوراً. طبق عناصر تحكم صارمة والتحقق من الأذونات لجميع عمليات الوصول إلى البيانات الوصفية. راجع أدوار المستخدمين وقيد وصول مستوى المساهم إذا لم يكن ضروريًا. تدقيق السجلات لمحاولات الوصول غير المصرح به إلى البيانات الوصفية. فكر في استخدام جدران الحماية لتطبيقات الويب لكشف وحجب استعلامات البيانات الوصفية المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 4

🔗

https://plugins.trac.wordpress.org/browser/display-a-meta-field-as-block/trunk/meta-fie...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/display-a-meta-field-as-block/trunk/meta-fie...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3472303/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/247df9e2-0a63-49ad-86fa-cb4c6...

security@wordfence.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-639

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-639

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-3173

عرّفنا بنفسك

تسجيل الدخول مطلوب