الثغرات ›

CVE-2026-5693

متوسط

CWE-862 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 15, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Smart Appointment & Booking plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check and a nonce validation logic flaw in the saab_cancel_booking() function in all versions up to, and including, 1.0.8. The nonce check uses && (AND) instead of || (OR), which means providing any value for the security parameter causes the entire check to be skipped. This makes it possible for unauthenticated attackers to cancel arbitrary bookings by supplying a predictable booking ID.

🤖 ملخص AI

The Smart Appointment & Booking WordPress plugin versions up to 1.0.8 contains a critical authorization bypass in the booking cancellation function due to improper nonce validation logic using AND instead of OR operators. Unauthenticated attackers can cancel arbitrary bookings by exploiting this flaw with predictable booking IDs.

📄 الوصف (العربية)

يحتوي مكون Smart Appointment & Booking للـ WordPress على خلل في التحقق من صحة nonce في دالة saab_cancel_booking() حيث يتم استخدام عامل AND بدلاً من OR، مما يسمح بتجاوز فحص الأمان بالكامل. يمكن للمهاجمين غير المصرح لهم إلغاء أي حجز تعسفي من خلال توفير معرف حجز يمكن التنبؤ به.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 03:01

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

healthcare government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1199

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Smart Appointment & Booking plugin to version 1.0.9 or later immediately. Review and audit all booking cancellations in your system for unauthorized modifications. Implement Web Application Firewall (WAF) rules to detect and block suspicious booking cancellation requests. Disable the plugin if an update is unavailable and use alternative appointment booking solutions.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون الحجز والمواعيد الذكية إلى الإصدار 1.0.9 أو أحدث فوراً. راجع وتدقق جميع عمليات إلغاء الحجوزات في نظامك للتحقق من التعديلات غير المصرح بها. طبق قواعد جدار الحماية لتطبيقات الويب لكشف وحجب طلبات إلغاء الحجوزات المريبة. عطل المكون إذا لم يكن التحديث متاحاً واستخدم حلول حجز المواعيد البديلة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://plugins.trac.wordpress.org/browser/smart-appointment-booking/tags/1.0.8/inc/fro...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/smart-appointment-booking/trunk/inc/front/cl...

security@wordfence.com

🔗

https://wordpress.org/plugins/smart-appointment-booking/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/afc3531d-6134-4b45-b532-37430...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-862

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-5693

عرّفنا بنفسك

تسجيل الدخول مطلوب