الثغرات ›

CVE-2026-4654

متوسط

CWE-639 — نوع الضعف

                    نُشر: Apr 8, 2026                      ·  آخر تحديث: Apr 11, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Awesome Support – WordPress HelpDesk & Support Plugin plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 6.3.7. This is due to the wpas_get_ticket_replies_ajax() function failing to verify whether the authenticated user has permission to view the specific ticket being requested. This makes it possible for authenticated attackers, with subscriber-level access and above, to access sensitive information from all support tickets in the system by manipulating the ticket_id parameter.

🤖 ملخص AI

The Awesome Support WordPress plugin versions up to 6.3.7 contain an Insecure Direct Object Reference vulnerability in the wpas_get_ticket_replies_ajax() function that fails to verify user permissions. Authenticated subscribers can access sensitive information from all support tickets by manipulating the ticket_id parameter.

📄 الوصف (العربية)

ثغرة مرجع كائن مباشر غير آمن (IDOR) في مكون Awesome Support لـ WordPress تسمح للمستخدمين المصرح لهم بمستوى المشترك بالوصول إلى جميع تذاكر الدعم في النظام. الدالة wpas_get_ticket_replies_ajax() لا تتحقق من أن المستخدم لديه الإذن لعرض التذكرة المطلوبة قبل إرجاع البيانات الحساسة.

🤖 ملخص تنفيذي (AI)

يحتوي مكون Awesome Support لـ WordPress الإصدارات حتى 6.3.7 على ثغرة مرجع كائن مباشر غير آمن في دالة wpas_get_ticket_replies_ajax() التي تفشل في التحقق من أذونات المستخدم. يمكن للمشتركين المصرح لهم الوصول إلى معلومات حساسة من جميع تذاكر الدعم بمعالجة معامل ticket_id.

🤖 التحليل الذكي آخر تحليل: May 29, 2026 09:44

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1548 T1087 T1526

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update the Awesome Support plugin to version 6.3.8 or later immediately. Implement proper access control checks in the wpas_get_ticket_replies_ajax() function to verify user permissions before returning ticket data. Conduct a security audit of all support ticket access logs to identify potential unauthorized access.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Awesome Support إلى الإصدار 6.3.8 أو أحدث على الفور. تطبيق فحوصات التحكم في الوصول المناسبة في دالة wpas_get_ticket_replies_ajax() للتحقق من أذونات المستخدم قبل إرجاع بيانات التذاكر. إجراء تدقيق أمني لجميع سجلات الوصول إلى تذاكر الدعم لتحديد الوصول غير المصرح به المحتمل.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 6

🔗

https://plugins.trac.wordpress.org/browser/awesome-support/tags/6.3.7/includes/function...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/awesome-support/tags/6.3.7/includes/function...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/awesome-support/trunk/includes/functions-pos...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/awesome-support/trunk/includes/functions-pos...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=349766...

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/9f9015fa-b3f0-4312-8acd-02b71...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-639

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-08

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-639

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-4654

عرّفنا بنفسك

تسجيل الدخول مطلوب