Перейти к содержимому

Дайджест свежих материалов из мира WordPress

О проекте
Публикации
События
Вакансии
Реклама
Магазин
Контакты

Новости WordPress

Обзор уязвимостей в мире WordPress за май 2020 года

Рейтинг: 4.9 из 6 оценок

Mikhail Kobzarev 1 июня, 20204 июня, 2020 Комментарии

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо.

Уязвимые плагины под WordPress

Multi Scheduler <= 1.0.0 — Arbitrary Record Deletion via CSRF
MapPress Maps < 2.54.6 — Improper Capability Checks in AJAX Calls
bbPress < 2.6.5 — Authenticated Stored Cross-Site Scripting via the forums list table
bbPress 2.6-2.6.5 — Authenticated Privilege Escalation via the Super Moderator feature
bbPress < 2.6.5 — Unauthenticated Privilege Escalation when New User Registration enabled
Final Tiles Gallery < 3.4.19 — Authenticated Stored Cross-Site Scripting (XSS)
Page Builder: PageLayer — Drag and Drop website builder < 1.1.2 — CSRF leading to XSS
Page Builder: PageLayer — Drag and Drop website builder < 1.1.2 — Unprotected AJAX’s leading to XSS
Drag and Drop Multiple File Upload for Contact Form 7 < 1.3.3.3 — Unauthenticated File Upload Bypass
Form Maker by 10Web <= 1.13.35 — Authenticated SQL Injection
Official MailerLite Sign Up Forms < 1.4.5 — Multiple CSRF Issues
Official MailerLite Sign Up Forms < 1.4.4 — Unauthenticated SQL Injection
Add-on SweetAlert Contact Form 7 < 1.0.8 — Authenticated Stored Cross-Site Scripting (XSS)
ThirstyAffiliates < 3.9.3 — Authenticated Stored XSS
WP Frontend Profile < 1.2.2 — CSRF Check Incorrectly Implemented
Paid Memberships Pro < 2.3.3 — Authenticated SQL Injection
Ajax Load More < 5.3.2 — Authenticated SQL Injection
Visual Composer < 27.0 — Multiple Authenticated Cross-Site Scripting Issues
Team Members < 5.0.4 — Authenticated Stored Cross-Site Scripting (XSS)
Photo Gallery by 10Web < 1.5.55 — Unauthenticated SQL Injection
WP Product Review < 3.7.6 — Unauthenticated Stored Cross-Site Scripting (XSS)
Login/Signup Popup < 1.5 — Authenticated Stored Cross-Site Scripting (XSS)
Site Kit by Google < 1.8.0 — Privilege Escalation to gain Search Console Access
Easy Testimonials < 3.6 — Authenticated Stored Cross-Site Scripting (XSS)
WooCommerce < 4.1.0 — Unescaped Metadata when Duplicating Products
Page Builder by SiteOrigin < 2.10.16 — CSRF to Reflected Cross-Site Scripting (XSS)
Chopslider <= 3.4 — Unauthenticated Blind SQL Injection
Iframe < 4.5 — Authenticated Stored Cross Site Scripting (XSS)
Ultimate Addons for Elementor < 1.24.2 — Registration Bypass
Elementor Pro < 2.9.4 — Authenticated Arbitrary File Upload
Elementor < 2.9.8 — SVG Sanitizer Bypass leading to Authenticated Stored XSS
Advanced Order Export For WooCommerce < 3.1.4 — Authenticated Cross-Site Scripting (XSS)
WTI Like Post <= 1.4.5 — Authenticated Stored Cross-Site Scripting (XSS)

Уязвимые темы под WordPress

Avada < 6.2.3 — Missing Permission Checks leading to Arbitrary Post Creation, Edition, Deletion and Stored XSS

Источник: WPVulnDB.

Метки записи: #Themes #WPVulnDB #Плагины WordPress

Комментарии

Навигация по записям

Канал WordPress Jobs станет платным в новом году

Обзор уязвимостей в мире WordPress за июнь 2020 года

Добавить комментарий

Читайте также

2 июля, 2020
Обзор уязвимостей в мире WordPress за июнь 2020 года

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо.
3 августа, 2020
Обзор уязвимостей в мире WordPress за июль 2020 года

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо.
1 сентября, 2020
Обзор уязвимостей в мире WordPress за август 2020 года

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо.
2 октября, 2020
Обзор уязвимостей в мире WordPress за сентябрь 2020 года

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо.
7 апреля, 2021
Kadence WP присоединилась к команде iThemes!

С радостью сообщаю, что на днях iThemes приобрела Kadence WP и всю их команду. Читайте далее
5 мая, 2021
WordPress Digest. Март-апрель 2021

Про интересности в мире WordPress в марте и апреле 2021 года от канала Финты WordPress. Читайте далее

Найти:

🔥 Горячие вакансии

Студия Combo Agency ищет PHP (WordPress) разработчика 9 апреля, 2024
В партнёрскую сеть X-partners разыскивается PHP-разработчик (WordPress) 4 апреля, 2024
В компанию code.market требуется специалист по WordPress 24 марта, 2024
В компанию А17 требуется разработчик WordPress 16 марта, 2024
В компанию Arbitraffic требуется специалист по Elementor 6 марта, 2024

❤️ Выбор редакции

SmmBox — отложенный постинг и поиск контента 23 июля, 2021
Конструктор страниц Elementor 5 января, 2021
Плагин Expert Review 12 февраля, 2021
Платежи TON для WordPress & WooCommerce 14 декабря, 2022
Cwicly 25 октября, 2023

📅 Последние мероприятия

WordPress на максимальных скоростях 27 марта, 2024
Live PHP SPb: В Питере — Пых! 15 февраля, 2024
PHPofBY Meetup #42 13 декабря, 2023
WP Moscow #22. Живой осенний митап на крыше 23 октября, 2023
Тематический митап по плагину Advanced Custom Fields 26 сентября, 2023

Свежие записи

WordPress Дайджест № 13 (18 марта — 18 апреля 2024) 18 апреля, 2024
Страна плохих компьютеров и гениальных компьютерщиков 16 апреля, 2024
WordPress Дайджест № 12 (12 февраля — 18 марта 2024) 18 марта, 2024
Как легко скрыть меню в админке WP? Плагин Easy Hide Admin Menu Items 11 марта, 2024
CodeWP — искусственный интеллект для разработчика WordPress 5 марта, 2024

Уязвимости ядра WordPress

База данных предоставлена сервисом WP SysAdmin:

WordPress <= 6.0.1 - Authenticated Cross-Site Scripting (XSS) vulnerability 31.08.2022
WordPress <= 6.0.1 - Authenticated Stored Cross-Site Scripting (XSS) vulnerability 31.08.2022
WordPress <= 6.0.1 - Authenticated SQL Injection (SQLi) vulnerability via Link API 31.08.2022
WordPress core <= 6.0.2 - Data Exposure vulnerability via REST API 18.10.2022
WordPress core <= 6.0.2 - Sender’s Email Address Exposure vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Reflected Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability in Comment editing 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - SQL Injection (SQLi) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Content From Multipart Emails Leak vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Request Forgery (CSRF) vulnerability in wp-trackback.php 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Open redirect vulnerability 18.10.2022
Multiple vulnerabilities in WordPress 08.11.2022
CVE-2022-43504 05.12.2022
CVE-2022-43500 05.12.2022
CVE-2022-43497 05.12.2022
WordPress Core < 6.0.3 - Shared User Instance Weakness 01.01.1970
WordPress Core < 6.0.3 - Open Redirect 01.01.1970
WordPress Core < 6.0.3 - Information Disclosure (Multi-Part Email Leak) 01.01.1970
WordPress Core < 6.0.3 - Authenticated (Admin+) Stored Cross-Site Scripting via Customizer 01.01.1970
WordPress Core < 6.0.3 - Authenticated Information Disclosure via REST-API 01.01.1970
WordPress Core < 6.0.3 - Reflected Cross-Site Scripting via SQL Injection 01.01.1970
WordPress Core < 6.0.3 - Cross-Site Request Forgery via wp-trackback.php 01.01.1970
WordPress Core < 6.0.3 - Information Disclosure (Email Address) 01.01.1970
WordPress Core < 6.0.3 - Authenticated (Editor+) Stored Cross-Site Scripting via Comments 01.01.1970
WordPress Core < 6.0.3 - SQL Injection via WP_Date_Query 01.01.1970
WordPress Core < 6.0.2 - Authenticated SQL Injection 01.01.1970
WordPress Core < 6.0.2 - Stored Cross-Site Scripting via Plugin Deactivation and Deletion Errors 01.01.1970
WordPress Core < 6.0.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via use of the_meta(); function 01.01.1970
CVE-2022-3590 14.12.2022
WordPress Core < 6.2.1 - Cross-Site Request Forgery 01.01.1970
CVE-2023-2745 17.05.2023
WordPress Core < 6.2.1 - Directory Traversal 01.01.1970
WordPress <= 6.2 is vulnerable to Directory Traversal 17.05.2023
WordPress <= 6.2 is vulnerable to Content Injection 17.05.2023
WordPress <= 6.2 is vulnerable to Content Injection 17.05.2023
WordPress <= 6.2 is vulnerable to Cross Site Scripting (XSS) 17.05.2023
WordPress <= 6.2 is vulnerable to Cross Site Request Forgery (CSRF) 17.05.2023
WordPress <= 6.2.1 is vulnerable to Content Injection 22.05.2023
WordPress Core < 6.2.1 - Shortcode Execution in User Generated Content 01.01.1970
WordPress Core < 6.2.2 - Shortcode Execution in User Generated Content 01.01.1970
WordPress Core < 6.2.1 - Insufficient Sanitization of Block Attributes 01.01.1970
WordPress Core < 6.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Embed Discovery 01.01.1970
CVE-2023-38000 13.10.2023
WordPress Core 5.9-6.3.1 - Authenticated(Contributor+) Stored Cross-Site Scripting via Navigation Attributes 01.01.1970
CVE-2023-39999 13.10.2023
WordPress Core <= 6.3.1 - Authenticated(Contributor+) Sensitive Information Exposure via Comments on Protected Posts 01.01.1970
WordPress Core 4.7.0-6.3.1 - Denial of Service via Cache Poisoning 01.01.1970
CVE-2023-5561 16.10.2023
WordPress Core 4.7.0 - 6.3.1 - Sensitive Information Exposure via User Search REST Endpoint 01.01.1970
WordPress Core < 6.3.2 – Authenticated (Subscriber+) Arbitrary Shortcode Execution via parse-media-shortcode 01.01.1970
WordPress Core 5.6 - 6.3.1 - Reflected Cross-Site Scripting via Application Password Requests 01.01.1970
CVE-2018-14028 10.08.2018
CVE-2023-5692 05.04.2024
WordPress Core <= 6.4.3 - Sensitive Information Exposure via redirect_guess_404_permalink 01.01.1970

О проекте
Публикации
События
Вакансии
Реклама
Магазин
Контакты

Редакция не несет ответственности за достоверность информации в рекламных объявлениях. При цитировании и перепечатке материалов ссылка на сайт WordPress Digest обязательна. Позиция редакции не всегда совпадает с точкой зрения авторов.

© WordPress Digest, 2018–2024

Наш Telegram

Всегда только всё самое новое про WordPress от WordPress Digest и никакого спама

Читать нас в Telegram

Обзор корзины

Корзина пуста.

Искать:

О проекте
Публикации
События
Вакансии
Реклама
Магазин
Контакты

Найти: