Уязвимости
База данных уязвимостей тем и плагинов под WordPress от сервиса WPScan по состоянию на текущий день.
Содержание
- WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8
- WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure
- WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer
- WordPress 5.4 to 5.8 - Lodash Library Update
- WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor
- WordPress 5.4 to 5.8 - Data Exposure via REST API
- WordPress < 5.8.2 - Expired DST Root CA X3 Certificate
- WordPress < 5.8.3 - SQL Injection via WP_Query
- WordPress < 5.8.3 - Author+ Stored XSS via Post Slugs
- WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query
- WordPress < 5.8.3 - Super Admin Object Injection in Multisites
- WordPress < 5.9.2 - Prototype Pollution in jQuery
- WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package
- WP < 6.0.2 - Reflected Cross-Site Scripting
- WP < 6.0.2 - Authenticated Stored Cross-Site Scripting
- WP < 6.0.2 - SQLi via Link API
WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8
- Дата создания: 15.04.2021
- Дата обновления: 19.05.2021
- Дата публикации: 15.04.2021
- Тип уязвимости: XXE
- Исправлено в версии: 5.7.1
- CVE: 2021-29447
- Ссылки:
- https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
- https://core.trac.wordpress.org/changeset/29378
- https://blog.wpscan.com/2021/04/15/wordpress-571-security-vulnerability-release.html
- https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-rv47-pc52-qrhh
- https://blog.sonarsource.com/wordpress-xxe-security-vulnerability/
- https://hackerone.com/reports/1095645
WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure
- Дата создания: 15.04.2021
- Дата обновления: 27.04.2021
- Дата публикации: 15.04.2021
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.1
- CVE: 2021-29450
- Ссылки:
- https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
- https://blog.wpscan.com/2021/04/15/wordpress-571-security-vulnerability-release.html
- https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-pmmh-2f36-wvhq
- https://core.trac.wordpress.org/changeset/50717/
WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer
- Дата создания: 13.05.2021
- Дата обновления: 15.05.2021
- Дата публикации: 13.05.2021
- Тип уязвимости: OBJECT INJECTION
- Исправлено в версии: 5.7.2
- CVE: 2020-36326, 2018-19296
- Ссылки:
- https://github.com/WordPress/WordPress/commit/267061c9595fedd321582d14c21ec9e7da2dcf62
- https://wordpress.org/news/2021/05/wordpress-5-7-2-security-release/
- https://github.com/PHPMailer/PHPMailer/commit/e2e07a355ee8ff36aba21d0242c5950c56e4c6f9
- https://www.wordfence.com/blog/2021/05/wordpress-5-7-2-security-release-what-you-need-to-know/
WordPress 5.4 to 5.8 - Lodash Library Update
- Дата создания: 09.09.2021
- Дата обновления: 19.05.2022
- Дата публикации: 09.09.2021
- Тип уязвимости: INJECTION
- Исправлено в версии: 5.7.3
- Ссылки:
WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor
- Дата создания: 09.09.2021
- Дата обновления: 19.05.2022
- Дата публикации: 09.09.2021
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.3
- CVE: 2021-39201
- Ссылки:
WordPress 5.4 to 5.8 - Data Exposure via REST API
- Дата создания: 09.09.2021
- Дата обновления: 19.05.2022
- Дата публикации: 09.09.2021
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.3
- CVE: 2021-39200
- Ссылки:
WordPress < 5.8.2 - Expired DST Root CA X3 Certificate
- Дата создания: 10.11.2021
- Дата обновления: 16.04.2022
- Дата публикации: 10.11.2021
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.4
- Ссылки:
WordPress < 5.8.3 - SQL Injection via WP_Query
- Дата создания: 06.01.2022
- Дата обновления: 12.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.5
- CVE: 2022-21661
- Ссылки:
- Дата создания: 06.01.2022
- Дата обновления: 13.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.5
- CVE: 2022-21662
- Ссылки:
WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query
- Дата создания: 06.01.2022
- Дата обновления: 16.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.5
- CVE: 2022-21664
- Ссылки:
WordPress < 5.8.3 - Super Admin Object Injection in Multisites
- Дата создания: 06.01.2022
- Дата обновления: 13.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: OBJECT INJECTION
- Исправлено в версии: 5.7.5
- CVE: 2022-21663
- Ссылки:
WordPress < 5.9.2 - Prototype Pollution in jQuery
- Дата создания: 11.03.2022
- Дата обновления: 12.04.2022
- Дата публикации: 11.03.2022
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.6
- Ссылки:
WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package
- Дата создания: 11.03.2022
- Дата обновления: 17.04.2022
- Дата публикации: 11.03.2022
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.6
- Ссылки:
WP < 6.0.2 - Reflected Cross-Site Scripting
- Дата создания: 30.08.2022
- Дата обновления: 30.08.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.7
- Ссылки:
WP < 6.0.2 - Authenticated Stored Cross-Site Scripting
- Дата создания: 30.08.2022
- Дата обновления: 30.08.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.7
- Ссылки:
WP < 6.0.2 - SQLi via Link API
- Дата создания: 30.08.2022
- Дата обновления: 07.09.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.7
- Ссылки: