Уязвимости

База данных уязвимостей тем и плагинов под WordPress от сервиса WPScan по состоянию на текущий день.

WordPress < 5.5.2 - Hardening Deserialization Requests

• Дата создания: 29.10.2020
• Дата обновления: 29.04.2021
• Дата публикации: 29.10.2020
• Тип уязвимости: OBJECT INJECTION
• Исправлено в версии: 5.5.2
• CVE: 2020-28032
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://github.com/WordPress/wordpress-develop/commit/add6bedf3a53b647d0ebda2970057912d3cd79d3
  3. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html
  4. https://github.com/WordPress/Requests/security/advisories/GHSA-52qp-jpq7-6c54

WordPress < 5.5.2 - Disable Spam Embeds from Disabled Sites on a Multisite Network

• Дата создания: 29.10.2020
• Дата обновления: 02.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: BYPASS
• Исправлено в версии: 5.5.2
• CVE: 2020-28033
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html

WordPress < 5.5.2 - Cross-Site Scripting (XSS) via Global Variables

• Дата создания: 29.10.2020
• Дата обновления: 01.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: XSS
• Исправлено в версии: 5.5.2
• CVE: 2020-28034
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html

WordPress < 5.5.2 - XML-RPC Privilege Escalation

• Дата создания: 29.10.2020
• Дата обновления: 01.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: PRIVESC
• Исправлено в версии: 5.5.2
• CVE: 2020-28035, 2020-28036
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://github.com/WordPress/wordpress-develop/commit/c9e6b98968025b1629015998d12c3102165a7d32
  3. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html

WordPress < 5.5.2 - Unauthenticated DoS Attack to RCE

• Дата создания: 29.10.2020
• Дата обновления: 03.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: DOS
• Исправлено в версии: 5.5.2
• CVE: 2020-28037
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://github.com/WordPress/wordpress-develop/commit/2ca15d1e5ce70493c5c0c096ca0c76503d6da07c
  3. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html
  4. https://threatpost.com/wordpress-patches-rce-bug/160812/

WordPress < 5.5.2 - Stored XSS in Post Slugs

• Дата создания: 29.10.2020
• Дата обновления: 02.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: XSS
• Исправлено в версии: 5.5.2
• CVE: 2020-28038
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html

WordPress < 5.5.2 - Protected Meta That Could Lead to Arbitrary File Deletion

• Дата создания: 29.10.2020
• Дата обновления: 02.11.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: FILE DELETION
• Исправлено в версии: 5.5.2
• CVE: 2020-28039
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://github.com/WordPress/wordpress-develop/commit/d5ddd6d4be1bc9fd16b7796842e6fb26315705ad
  3. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html

WordPress < 5.5.2 - Cross-Site Request Forgery (CSRF) to Change Theme Background

• Дата создания: 31.10.2020
• Дата обновления: 15.12.2020
• Дата публикации: 29.10.2020
• Тип уязвимости: CSRF
• Исправлено в версии: 5.5.2
• CVE: 2020-28040
• Ссылки:
  1. https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/
  2. https://github.com/WordPress/wordpress-develop/commit/cbcc595974d5aaa025ca55625bf68ef286bd8b41
  3. https://blog.wpscan.com/2020/10/30/wordpress-5.5.2-security-release.html
  4. https://hackerone.com/reports/881855

WordPress 4.7-5.7 - Authenticated Password Protected Pages Exposure

• Дата создания: 15.04.2021
• Дата обновления: 27.04.2021
• Дата публикации: 15.04.2021
• Тип уязвимости: SENSITIVE DATA DISCLOSURE
• Исправлено в версии: 5.5.4
• CVE: 2021-29450
• Ссылки:
  1. https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
  2. https://blog.wpscan.com/2021/04/15/wordpress-571-security-vulnerability-release.html
  3. https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-pmmh-2f36-wvhq
  4. https://core.trac.wordpress.org/changeset/50717/

WordPress 3.7 to 5.7.1 - Object Injection in PHPMailer

• Дата создания: 13.05.2021
• Дата обновления: 14.05.2021
• Дата публикации: 13.05.2021
• Тип уязвимости: OBJECT INJECTION
• Исправлено в версии: 5.5.5
• CVE: 2020-36326, 2018-19296
• Ссылки:
  1. https://github.com/WordPress/WordPress/commit/267061c9595fedd321582d14c21ec9e7da2dcf62
  2. https://wordpress.org/news/2021/05/wordpress-5-7-2-security-release/
  3. https://github.com/PHPMailer/PHPMailer/commit/e2e07a355ee8ff36aba21d0242c5950c56e4c6f9
  4. https://www.wordfence.com/blog/2021/05/wordpress-5-7-2-security-release-what-you-need-to-know/