Уязвимости

База данных уязвимостей тем и плагинов под WordPress от сервиса WPScan по состоянию на текущий день.

Содержание

WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8
WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure
WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer
WordPress 5.4 to 5.8 - Lodash Library Update
WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor
WordPress 5.4 to 5.8 - Data Exposure via REST API
WordPress < 5.8.2 - Expired DST Root CA X3 Certificate
WordPress < 5.8.3 - SQL Injection via WP_Query
WordPress < 5.8.3 - Author+ Stored XSS via Post Slugs
WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query
WordPress < 5.8.3 - Super Admin Object Injection in Multisites
WordPress < 5.9.2 - Prototype Pollution in jQuery
WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package
WP < 6.0.2 - Reflected Cross-Site Scripting
WP < 6.0.2 - Authenticated Stored Cross-Site Scripting
WP < 6.0.2 - SQLi via Link API
WP < 6.0.3 - Stored XSS via wp-mail.php
WP < 6.0.3 - Open Redirect via wp_nonce_ays
WP < 6.0.3 - Email Address Disclosure via wp-mail.php
WP < 6.0.3 - Reflected XSS via SQLi in Media Library
WP < 6.0.3 - CSRF in wp-trackback.php
WP < 6.0.3 - Stored XSS via the Customizer
WP < 6.0.3 - Stored XSS via Comment Editing
WP < 6.0.3 - Content from Multipart Emails Leaked
WP < 6.0.3 - SQLi in WP_Date_Query
WP < 6.0.3 - Stored XSS via RSS Widget
WP < 6.0.3 - Data Exposure via REST Terms/Tags Endpoint
WP < 6.0.3 - Multiple Stored XSS via Gutenberg
WP <= 6.2 - Unauthenticated Blind SSRF via DNS Rebinding
WP < 6.2.1 - Contributor+ Content Injection
WP < 6.2.2 - Shortcode Execution in User Generated Data
WP < 6.2.1 - Contributor+ Stored XSS via Open Embed Auto Discovery
WP < 6.2.1 - Thumbnail Image Update via CSRF
WP < 6.2.1 - Directory Traversal via Translation Files
WP 5.6-6.3.1 - Reflected XSS via Application Password Requests
WP < 6.3.2 - Denial of Service via Cache Poisoning
WP < 6.3.2 - Subscriber+ Arbitrary Shortcode Execution
WP < 6.3.2 - Contributor+ Comment Disclosure
WP < 6.3.2 - Unauthenticated Post Author Email Disclosure

WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8

WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure

Дата создания: 15.04.2021
Дата обновления: 27.04.2021
Дата публикации: 15.04.2021
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.1
CVE: 2021-29450
Ссылки:

WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer

Дата создания: 13.05.2021
Дата обновления: 15.05.2021
Дата публикации: 13.05.2021
Тип уязвимости: OBJECT INJECTION
Исправлено в версии: 5.7.2
CVE: 2020-36326, 2018-19296
Ссылки:

WordPress 5.4 to 5.8 - Lodash Library Update

Дата создания: 09.09.2021
Дата обновления: 19.05.2022
Дата публикации: 09.09.2021
Тип уязвимости: INJECTION
Исправлено в версии: 5.7.3
Ссылки:

WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor

Дата создания: 09.09.2021
Дата обновления: 19.05.2022
Дата публикации: 09.09.2021
Тип уязвимости: XSS
Исправлено в версии: 5.7.3
CVE: 2021-39201
Ссылки:
1. https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/
2. https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-wh69-25hr-h94v

WordPress 5.4 to 5.8 - Data Exposure via REST API

Дата создания: 09.09.2021
Дата обновления: 30.01.2023
Дата публикации: 09.09.2021
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.3
CVE: 2021-39200
Ссылки:

WordPress < 5.8.2 - Expired DST Root CA X3 Certificate

Дата создания: 10.11.2021
Дата обновления: 16.04.2022
Дата публикации: 10.11.2021
Тип уязвимости: UNKNOWN
Исправлено в версии: 5.7.4
Ссылки:
1. https://wordpress.org/news/2021/11/wordpress-5-8-2-security-and-maintenance-release/
2. https://core.trac.wordpress.org/ticket/54207

WordPress < 5.8.3 - SQL Injection via WP_Query

Дата создания: 06.01.2022
Дата обновления: 12.04.2022
Дата публикации: 06.01.2022
Тип уязвимости: SQLI
Исправлено в версии: 5.7.5
CVE: 2022-21661
Ссылки:
1. https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-6676-cqfm-gw84
2. https://hackerone.com/reports/1378209

WordPress < 5.8.3 - Author+ Stored XSS via Post Slugs

Дата создания: 06.01.2022
Дата обновления: 13.04.2022
Дата публикации: 06.01.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.5
CVE: 2022-21662
Ссылки:

WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query

Дата создания: 06.01.2022
Дата обновления: 16.04.2022
Дата публикации: 06.01.2022
Тип уязвимости: SQLI
Исправлено в версии: 5.7.5
CVE: 2022-21664
Ссылки:
1. https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-jp3p-gw8h-6x86

WordPress < 5.8.3 - Super Admin Object Injection in Multisites

Дата создания: 06.01.2022
Дата обновления: 13.04.2022
Дата публикации: 06.01.2022
Тип уязвимости: OBJECT INJECTION
Исправлено в версии: 5.7.5
CVE: 2022-21663
Ссылки:
1. https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-jmmq-m8p8-332h
2. https://hackerone.com/reports/541469

WordPress < 5.9.2 - Prototype Pollution in jQuery

Дата создания: 11.03.2022
Дата обновления: 12.04.2022
Дата публикации: 11.03.2022
Тип уязвимости: UNKNOWN
Исправлено в версии: 5.7.6
Ссылки:
1. https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/

WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package

Дата создания: 11.03.2022
Дата обновления: 17.04.2022
Дата публикации: 11.03.2022
Тип уязвимости: UNKNOWN
Исправлено в версии: 5.7.6
Ссылки:
1. https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/
2. https://github.com/WordPress/gutenberg/pull/39365/files

WP < 6.0.2 - Reflected Cross-Site Scripting

Дата создания: 30.08.2022
Дата обновления: 30.08.2022
Дата публикации: 30.08.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.7
Ссылки:
1. https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/

WP < 6.0.2 - Authenticated Stored Cross-Site Scripting

Дата создания: 30.08.2022
Дата обновления: 30.08.2022
Дата публикации: 30.08.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.7
Ссылки:
1. https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/

WP < 6.0.2 - SQLi via Link API

Дата создания: 30.08.2022
Дата обновления: 07.09.2022
Дата публикации: 30.08.2022
Тип уязвимости: SQLI
Исправлено в версии: 5.7.7
Ссылки:
1. https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/

WP < 6.0.3 - Stored XSS via wp-mail.php

Дата создания: 18.10.2022
Дата обновления: 18.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/abf236fdaf94455e7bc6e30980cf70401003e283

WP < 6.0.3 - Open Redirect via wp_nonce_ays

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: REDIRECT
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/506eee125953deb658307bb3005417cb83f32095

WP < 6.0.3 - Email Address Disclosure via wp-mail.php

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/5fcdee1b4d72f1150b7b762ef5fb39ab288c8d44

WP < 6.0.3 - Reflected XSS via SQLi in Media Library

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/8836d4682264e8030067e07f2f953a0f66cb76cc

WP < 6.0.3 - CSRF in wp-trackback.php

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: CSRF
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/a4f9ca17fae0b7d97ff807a3c234cf219810fae0

WP < 6.0.3 - Stored XSS via the Customizer

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: CSRF
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/2ca28e49fc489a9bb3c9c9c0d8907a033fe056ef

WP < 6.0.3 - Stored XSS via Comment Editing

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/89c8f7919460c31c0f259453b4ffb63fde9fa955

WP < 6.0.3 - Content from Multipart Emails Leaked

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/3765886b4903b319764490d4ad5905bc5c310ef8

WP < 6.0.3 - SQLi in WP_Date_Query

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: SQLI
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/d815d2e8b2a7c2be6694b49276ba3eee5166c21f

WP < 6.0.3 - Stored XSS via RSS Widget

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/929cf3cb9580636f1ae3fe944b8faf8cca420492

WP < 6.0.3 - Data Exposure via REST Terms/Tags Endpoint

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: INCORRECT AUTHORISATION
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/wordpress-develop/commit/ebaac57a9ac0174485c65de3d32ea56de2330d8e

WP < 6.0.3 - Multiple Stored XSS via Gutenberg

Дата создания: 19.10.2022
Дата обновления: 19.10.2022
Дата публикации: 17.10.2022
Тип уязвимости: XSS
Исправлено в версии: 5.7.8
Ссылки:
1. https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/
2. https://github.com/WordPress/gutenberg/pull/45045/files

WP <= 6.2 - Unauthenticated Blind SSRF via DNS Rebinding

Дата создания: 13.12.2022
Дата обновления: 11.04.2023
Дата публикации: 13.12.2022
Тип уязвимости: SSRF
Исправлено в версии:
CVE: 2022-3590
Ссылки:
1. https://blog.sonarsource.com/wordpress-core-unauthenticated-blind-ssrf/

WP < 6.2.1 - Contributor+ Content Injection

Дата создания: 17.05.2023
Дата обновления: 23.05.2023
Дата публикации: 16.05.2023
Тип уязвимости: XSS
Исправлено в версии: 5.7.9
Ссылки:
1. https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/

WP < 6.2.2 - Shortcode Execution in User Generated Data

Дата создания: 17.05.2023
Дата обновления: 23.05.2023
Дата публикации: 16.05.2023
Тип уязвимости: NO AUTHORISATION
Исправлено в версии: 5.7.9
Ссылки:
1. https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/
2. https://wordpress.org/news/2023/05/wordpress-6-2-2-security-release/

WP < 6.2.1 - Contributor+ Stored XSS via Open Embed Auto Discovery

Дата создания: 17.05.2023
Дата обновления: 23.05.2023
Дата публикации: 16.05.2023
Тип уязвимости: XSS
Исправлено в версии: 5.7.9
Ссылки:
1. https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/

WP < 6.2.1 - Thumbnail Image Update via CSRF

Дата создания: 17.05.2023
Дата обновления: 23.05.2023
Дата публикации: 16.05.2023
Тип уязвимости: CSRF
Исправлено в версии: 5.7.9
Ссылки:
1. https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/

WP < 6.2.1 - Directory Traversal via Translation Files

Дата создания: 17.05.2023
Дата обновления: 23.05.2023
Дата публикации: 16.05.2023
Тип уязвимости: TRAVERSAL
Исправлено в версии: 5.7.9
CVE: 2023-2745
Ссылки:
1. https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/

WP 5.6-6.3.1 - Reflected XSS via Application Password Requests

Дата создания: 13.10.2023
Дата обновления: 13.10.2023
Дата публикации: 12.10.2023
Тип уязвимости: XSS
Исправлено в версии: 5.7.10
Ссылки:
1. https://wordpress.org/news/2023/10/wordpress-6-3-2-maintenance-and-security-release/

WP < 6.3.2 - Denial of Service via Cache Poisoning

Дата создания: 13.10.2023
Дата обновления: 13.10.2023
Дата публикации: 12.10.2023
Тип уязвимости: DOS
Исправлено в версии: 5.7.10
Ссылки:
1. https://wordpress.org/news/2023/10/wordpress-6-3-2-maintenance-and-security-release/

WP < 6.3.2 - Subscriber+ Arbitrary Shortcode Execution

Дата создания: 13.10.2023
Дата обновления: 13.10.2023
Дата публикации: 12.10.2023
Тип уязвимости: INCORRECT AUTHORISATION
Исправлено в версии: 5.7.10
Ссылки:
1. https://wordpress.org/news/2023/10/wordpress-6-3-2-maintenance-and-security-release/

WP < 6.3.2 - Contributor+ Comment Disclosure

Дата создания: 13.10.2023
Дата обновления: 13.10.2023
Дата публикации: 12.10.2023
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.10
CVE: 2023-39999
Ссылки:
1. https://wordpress.org/news/2023/10/wordpress-6-3-2-maintenance-and-security-release/

WP < 6.3.2 - Unauthenticated Post Author Email Disclosure

Дата создания: 13.10.2023
Дата обновления: 13.10.2023
Дата публикации: 12.10.2023
Тип уязвимости: SENSITIVE DATA DISCLOSURE
Исправлено в версии: 5.7.10
CVE: 2023-5561
Ссылки:
1. https://wpscan.com/blog/email-leak-oracle-vulnerability-addressed-in-wordpress-6-3-2/
2. https://wordpress.org/news/2023/10/wordpress-6-3-2-maintenance-and-security-release/

WordPress 5.6-5.7 - Authenticated XXE Within the Media Library Affecting PHP 8

WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure

WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer

WordPress 5.4 to 5.8 - Lodash Library Update

WordPress 5.4 to 5.8 - Authenticated XSS in Block Editor

WordPress 5.4 to 5.8 - Data Exposure via REST API

WordPress < 5.8.2 - Expired DST Root CA X3 Certificate

WordPress < 5.8.3 - SQL Injection via WP_Query

WordPress < 5.8.3 - Author+ Stored XSS via Post Slugs

WordPress 4.1-5.8.2 - SQL Injection via WP_Meta_Query

WordPress < 5.8.3 - Super Admin Object Injection in Multisites

WordPress < 5.9.2 - Prototype Pollution in jQuery

WordPress < 5.9.2 / Gutenberg < 12.7.2 - Prototype Pollution via Gutenberg’s wordpress/url package

WP < 6.0.2 - Reflected Cross-Site Scripting

WP < 6.0.2 - Authenticated Stored Cross-Site Scripting

WP < 6.0.2 - SQLi via Link API

WP < 6.0.3 - Stored XSS via wp-mail.php

WP < 6.0.3 - Open Redirect via wp_nonce_ays

WP < 6.0.3 - Email Address Disclosure via wp-mail.php

WP < 6.0.3 - Reflected XSS via SQLi in Media Library

WP < 6.0.3 - CSRF in wp-trackback.php

WP < 6.0.3 - Stored XSS via the Customizer

WP < 6.0.3 - Stored XSS via Comment Editing

WP < 6.0.3 - Content from Multipart Emails Leaked

WP < 6.0.3 - SQLi in WP_Date_Query

WP < 6.0.3 - Stored XSS via RSS Widget

WP < 6.0.3 - Data Exposure via REST Terms/Tags Endpoint

WP < 6.0.3 - Multiple Stored XSS via Gutenberg

WP <= 6.2 - Unauthenticated Blind SSRF via DNS Rebinding

WP < 6.2.1 - Contributor+ Content Injection

WP < 6.2.2 - Shortcode Execution in User Generated Data

WP < 6.2.1 - Contributor+ Stored XSS via Open Embed Auto Discovery

WP < 6.2.1 - Thumbnail Image Update via CSRF

WP < 6.2.1 - Directory Traversal via Translation Files

WP 5.6-6.3.1 - Reflected XSS via Application Password Requests

WP < 6.3.2 - Denial of Service via Cache Poisoning

WP < 6.3.2 - Subscriber+ Arbitrary Shortcode Execution

WP < 6.3.2 - Contributor+ Comment Disclosure

WP < 6.3.2 - Unauthenticated Post Author Email Disclosure

Наш Telegram