الثغرات ›

CVE-2026-3896

متوسط

CWE-862 — نوع الضعف

                    نُشر: May 27, 2026                      ·  آخر تحديث: May 30, 2026                      ·  المصدر: NVD                

CVSS v3

6.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Livemesh SiteOrigin Widgets plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `lsow_admin_ajax` AJAX action in all versions up to, and including, 3.9.2 due to missing authorization checks and insufficient input sanitization. The AJAX handler verifies a nonce but does not check user capabilities. This makes it possible for authenticated attackers with Subscriber-level access and above to modify plugin settings and inject malicious scripts that execute when administrators access the plugin settings page or when any user visits the frontend.

🤖 ملخص AI

The Livemesh SiteOrigin Widgets WordPress plugin versions up to 3.9.2 contains a Stored XSS vulnerability in the lsow_admin_ajax AJAX action due to missing authorization checks and insufficient input sanitization. Authenticated subscribers can inject malicious scripts that execute for administrators and frontend users.

📄 الوصف (العربية)

تحتوي إضافة Livemesh SiteOrigin Widgets للإصدارات حتى 3.9.2 على ثغرة Stored XSS في معالج AJAX lsow_admin_ajax حيث يتحقق من nonce لكن لا يفحص صلاحيات المستخدم. يمكن للمستخدمين المصرحين برتبة Subscriber وما فوق تعديل إعدادات الإضافة وحقن نصوص برمجية ضارة تُنفذ عند وصول المسؤولين لصفحة الإعدادات أو عند زيارة أي مستخدم للموقع.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 23:57

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1199 T1566

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Livemesh SiteOrigin Widgets plugin to version 3.9.3 or later immediately. Implement capability checks in the lsow_admin_ajax AJAX handler to restrict access to authorized administrators only. Apply input sanitization and output escaping to all user-supplied data. Review and audit all AJAX handlers for similar authorization vulnerabilities.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Livemesh SiteOrigin Widgets إلى الإصدار 3.9.3 أو أحدث فوراً. طبّق فحوصات الصلاحيات في معالج AJAX lsow_admin_ajax لتقييد الوصول للمسؤولين المصرحين فقط. طبّق تنظيف المدخلات والتحقق من المخرجات على جميع البيانات المدخلة من المستخدمين. راجع وتدقيق جميع معالجات AJAX للتحقق من ثغرات التفويض المماثلة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://plugins.trac.wordpress.org/browser/livemesh-siteorigin-widgets/tags/3.9.2/admin...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/livemesh-siteorigin-widgets/tags/3.9.2/admin...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/livemesh-siteorigin-widgets/tags/3.9.2/inclu...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/a1510984-571b-49ce-9e10-129e2...

security@wordfence.com

📊 CVSS Score

6.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.4

CWECWE-862

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-27

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-3896

عرّفنا بنفسك

تسجيل الدخول مطلوب