CVE-2026-0745
عالية / High
CVSS 7,2
VULNERABILITY BRIEF
CVE-2026-0745
المصدر الرسمي: NVD
مستوى الخطورة
عالية (High)
درجة CVSS
7,2
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2026-02-14
وصف الثغرة
The User Language Switch plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 1.6.10 due to missing URL validation on the 'download_language()' function. This makes it possible for authenticated attackers, with Administrator-level access and above, to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services.
الأثر المحتمل
لم تتوفر تفاصيل إضافية في المصدر الرسمي.
التوصيات والمعالجة
لم تتوفر تفاصيل إضافية في المصدر الرسمي.\nراجع روابط المصدر الرسمية.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
- https://downloads.wordpress.org/plugin/user-language-switch.zip
- https://plugins.trac.wordpress.org/browser/user-language-switch/tags/1.6.10/uls-options.php#L451
- https://plugins.trac.wordpress.org/browser/user-language-switch/trunk/uls-options.php#L451
- https://wordpress.org/plugins/user-language-switch/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/4d8d15be-6a7b-485e-a338-ccf1a6eb226c?source=cve
English Technical Fields
Description: The User Language Switch plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 1.6.10 due to missing URL validation on the 'download_language()' function. This makes it possible for authenticated attackers, with Administrator-level access and above, to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services.
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N