Уязвимости
База данных уязвимостей тем и плагинов под WordPress от сервиса WPScan по состоянию на текущий день.
Содержание
- WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8
- WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure
- WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer
- WordPress 5.4 to 5.8 - Data Exposure via REST API
- WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor
- WordPress 5.4 to 5.8 - Lodash Library Update
- WordPress < 5.8.2 - Expired DST Root CA X3 Certificate
- WordPress < 5.8.3 - SQL Injection via WP_Query
- WordPress < 5.8.3 - Author+ Stored XSS via Post Slugs
- WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query
- WordPress < 5.8.3 - Super Admin Object Injection in Multisites
- WordPress < 5.9.2 - Prototype Pollution in jQuery
- WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package
- WP < 6.0.2 - Reflected Cross-Site Scripting
- WP < 6.0.2 - Authenticated Stored Cross-Site Scripting
- WP < 6.0.2 - SQLi via Link API
- WP < 6.0.3 - Stored XSS via wp-mail.php
- WP < 6.0.3 - Open Redirect via wp_nonce_ays
- WP < 6.0.3 - Email Address Disclosure via wp-mail.php
- WP < 6.0.3 - Reflected XSS via SQLi in Media Library
- WP < 6.0.3 - CSRF in wp-trackback.php
- WP < 6.0.3 - Stored XSS via the Customizer
- WP < 6.0.3 - Stored XSS via Comment Editing
- WP < 6.0.3 - Content from Multipart Emails Leaked
- WP < 6.0.3 - SQLi in WP_Date_Query
- WP < 6.0.3 - Stored XSS via RSS Widget
- WP < 6.0.3 - Data Exposure via REST Terms/Tags Endpoint
- WP < 6.0.3 - Multiple Stored XSS via Gutenberg
- WP <= 6.2 - Unauthenticated Blind SSRF via DNS Rebinding
- WP < 6.2.1 - Directory Traversal via Translation Files
- WP < 6.2.1 - Thumbnail Image Update via CSRF
- WP < 6.2.1 - Contributor+ Stored XSS via Open Embed Auto Discovery
- WP < 6.2.2 - Shortcode Execution in User Generated Data
- WP < 6.2.1 - Contributor+ Content Injection
- WP 5.6-6.3.1 - Reflected XSS via Application Password Requests
- WP < 6.3.2 - Denial of Service via Cache Poisoning
- WP < 6.3.2 - Subscriber+ Arbitrary Shortcode Execution
- WP < 6.3.2 - Contributor+ Comment Disclosure
- WP < 6.3.2 - Unauthenticated Post Author Email Disclosure
- WordPress < 6.4.3 - Deserialization of Untrusted Data
- WordPress < 6.4.3 - Admin+ PHP File Upload
WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8
- Дата создания: 15.04.2021
- Дата обновления: 19.05.2021
- Дата публикации: 15.04.2021
- Тип уязвимости: XXE
- Исправлено в версии: 5.7.1
- CVE: 2021-29447
- Ссылки:
- https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
- https://core.trac.wordpress.org/changeset/29378
- https://blog.wpscan.com/2021/04/15/wordpress-571-security-vulnerability-release.html
- https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-rv47-pc52-qrhh
- https://blog.sonarsource.com/wordpress-xxe-security-vulnerability/
- https://hackerone.com/reports/1095645
WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure
- Дата создания: 15.04.2021
- Дата обновления: 27.04.2021
- Дата публикации: 15.04.2021
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.1
- CVE: 2021-29450
- Ссылки:
- https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
- https://blog.wpscan.com/2021/04/15/wordpress-571-security-vulnerability-release.html
- https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-pmmh-2f36-wvhq
- https://core.trac.wordpress.org/changeset/50717/
WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer
- Дата создания: 13.05.2021
- Дата обновления: 15.05.2021
- Дата публикации: 13.05.2021
- Тип уязвимости: OBJECT INJECTION
- Исправлено в версии: 5.7.2
- CVE: 2020-36326, 2018-19296
- Ссылки:
- https://github.com/WordPress/WordPress/commit/267061c9595fedd321582d14c21ec9e7da2dcf62
- https://wordpress.org/news/2021/05/wordpress-5-7-2-security-release/
- https://github.com/PHPMailer/PHPMailer/commit/e2e07a355ee8ff36aba21d0242c5950c56e4c6f9
- https://www.wordfence.com/blog/2021/05/wordpress-5-7-2-security-release-what-you-need-to-know/
WordPress 5.4 to 5.8 - Data Exposure via REST API
- Дата создания: 09.09.2021
- Дата обновления: 30.01.2023
- Дата публикации: 09.09.2021
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.3
- CVE: 2021-39200
- Ссылки:
WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor
- Дата создания: 09.09.2021
- Дата обновления: 19.05.2022
- Дата публикации: 09.09.2021
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.3
- CVE: 2021-39201
- Ссылки:
WordPress 5.4 to 5.8 - Lodash Library Update
- Дата создания: 09.09.2021
- Дата обновления: 19.05.2022
- Дата публикации: 09.09.2021
- Тип уязвимости: INJECTION
- Исправлено в версии: 5.7.3
- Ссылки:
WordPress < 5.8.2 - Expired DST Root CA X3 Certificate
- Дата создания: 10.11.2021
- Дата обновления: 16.04.2022
- Дата публикации: 10.11.2021
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.4
- Ссылки:
WordPress < 5.8.3 - SQL Injection via WP_Query
- Дата создания: 06.01.2022
- Дата обновления: 12.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.5
- CVE: 2022-21661
- Ссылки:
- Дата создания: 06.01.2022
- Дата обновления: 13.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.5
- CVE: 2022-21662
- Ссылки:
WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query
- Дата создания: 06.01.2022
- Дата обновления: 16.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.5
- CVE: 2022-21664
- Ссылки:
WordPress < 5.8.3 - Super Admin Object Injection in Multisites
- Дата создания: 06.01.2022
- Дата обновления: 13.04.2022
- Дата публикации: 06.01.2022
- Тип уязвимости: OBJECT INJECTION
- Исправлено в версии: 5.7.5
- CVE: 2022-21663
- Ссылки:
WordPress < 5.9.2 - Prototype Pollution in jQuery
- Дата создания: 11.03.2022
- Дата обновления: 12.04.2022
- Дата публикации: 11.03.2022
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.6
- Ссылки:
WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package
- Дата создания: 11.03.2022
- Дата обновления: 17.04.2022
- Дата публикации: 11.03.2022
- Тип уязвимости: UNKNOWN
- Исправлено в версии: 5.7.6
- Ссылки:
WP < 6.0.2 - Reflected Cross-Site Scripting
- Дата создания: 30.08.2022
- Дата обновления: 30.08.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.7
- Ссылки:
WP < 6.0.2 - Authenticated Stored Cross-Site Scripting
- Дата создания: 30.08.2022
- Дата обновления: 30.08.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.7
- Ссылки:
WP < 6.0.2 - SQLi via Link API
- Дата создания: 30.08.2022
- Дата обновления: 07.09.2022
- Дата публикации: 30.08.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.7
- Ссылки:
WP < 6.0.3 - Stored XSS via wp-mail.php
- Дата создания: 18.10.2022
- Дата обновления: 18.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Open Redirect via wp_nonce_ays
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: REDIRECT
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Email Address Disclosure via wp-mail.php
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Reflected XSS via SQLi in Media Library
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - CSRF in wp-trackback.php
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: CSRF
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Stored XSS via the Customizer
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: CSRF
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Stored XSS via Comment Editing
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Content from Multipart Emails Leaked
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - SQLi in WP_Date_Query
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: SQLI
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Stored XSS via RSS Widget
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.8
- Ссылки:
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: INCORRECT AUTHORISATION
- Исправлено в версии: 5.7.8
- Ссылки:
WP < 6.0.3 - Multiple Stored XSS via Gutenberg
- Дата создания: 19.10.2022
- Дата обновления: 19.10.2022
- Дата публикации: 17.10.2022
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.8
- Ссылки:
WP <= 6.2 - Unauthenticated Blind SSRF via DNS Rebinding
- Дата создания: 13.12.2022
- Дата обновления: 11.04.2023
- Дата публикации: 13.12.2022
- Тип уязвимости: SSRF
- Исправлено в версии:
- CVE: 2022-3590
- Ссылки:
WP < 6.2.1 - Directory Traversal via Translation Files
- Дата создания: 17.05.2023
- Дата обновления: 23.05.2023
- Дата публикации: 16.05.2023
- Тип уязвимости: TRAVERSAL
- Исправлено в версии: 5.7.9
- CVE: 2023-2745
- Ссылки:
WP < 6.2.1 - Thumbnail Image Update via CSRF
- Дата создания: 17.05.2023
- Дата обновления: 23.05.2023
- Дата публикации: 16.05.2023
- Тип уязвимости: CSRF
- Исправлено в версии: 5.7.9
- Ссылки:
WP < 6.2.1 - Contributor+ Stored XSS via Open Embed Auto Discovery
- Дата создания: 17.05.2023
- Дата обновления: 23.05.2023
- Дата публикации: 16.05.2023
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.9
- Ссылки:
WP < 6.2.2 - Shortcode Execution in User Generated Data
- Дата создания: 17.05.2023
- Дата обновления: 23.05.2023
- Дата публикации: 16.05.2023
- Тип уязвимости: NO AUTHORISATION
- Исправлено в версии: 5.7.9
- Ссылки:
WP < 6.2.1 - Contributor+ Content Injection
- Дата создания: 17.05.2023
- Дата обновления: 23.05.2023
- Дата публикации: 16.05.2023
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.9
- Ссылки:
WP 5.6-6.3.1 - Reflected XSS via Application Password Requests
- Дата создания: 13.10.2023
- Дата обновления: 13.10.2023
- Дата публикации: 12.10.2023
- Тип уязвимости: XSS
- Исправлено в версии: 5.7.10
- Ссылки:
WP < 6.3.2 - Denial of Service via Cache Poisoning
- Дата создания: 13.10.2023
- Дата обновления: 13.10.2023
- Дата публикации: 12.10.2023
- Тип уязвимости: DOS
- Исправлено в версии: 5.7.10
- Ссылки:
WP < 6.3.2 - Subscriber+ Arbitrary Shortcode Execution
- Дата создания: 13.10.2023
- Дата обновления: 13.10.2023
- Дата публикации: 12.10.2023
- Тип уязвимости: INCORRECT AUTHORISATION
- Исправлено в версии: 5.7.10
- Ссылки:
WP < 6.3.2 - Contributor+ Comment Disclosure
- Дата создания: 13.10.2023
- Дата обновления: 13.10.2023
- Дата публикации: 12.10.2023
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.10
- CVE: 2023-39999
- Ссылки:
- Дата создания: 13.10.2023
- Дата обновления: 13.10.2023
- Дата публикации: 12.10.2023
- Тип уязвимости: SENSITIVE DATA DISCLOSURE
- Исправлено в версии: 5.7.10
- CVE: 2023-5561
- Ссылки:
WordPress < 6.4.3 - Deserialization of Untrusted Data
- Дата создания: 30.01.2024
- Дата обновления: 30.01.2024
- Дата публикации: 30.01.2024
- Тип уязвимости: OBJECT INJECTION
- Исправлено в версии: 5.7.11
- Ссылки:
WordPress < 6.4.3 - Admin+ PHP File Upload
- Дата создания: 30.01.2024
- Дата обновления: 30.01.2024
- Дата публикации: 30.01.2024
- Тип уязвимости: UPLOAD
- Исправлено в версии: 5.7.11
- Ссылки:
