Duplicator
Уязвимости
9
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.97822
Распределение по критичности
Критический
2
Высокий
3
Средний
4
Низкий
0
Затронутые диапазоны версий
< 1.2.42< 1.3.0< 1.3.28< 1.4.7< 1.4.7.1< 1.5.7.1< 4.5.11.1
Также сопоставлено как (исходные строки): duplicator
Топ уязвимостей
CVE-2018-25095Плагин Duplicator WordPress до версии 1.3.0 неправильно экранирует значения, когда его скрипт установки заменяет значения в файлах конфигурации WordPress. Если этот скрипт установки остается на сайте после использования, его можно использовать для выполнения произвольного кода на сервере.
CVE-2018-17207Проблема была обнаружена в Snap Creek Duplicator до версии 1.2.42. Получив доступ к оставшимся файлам установщика (installer.php и installer-backup.php), злоумышленник может внедрить код PHP в wp-config.php во время шага настройки базы данных, добившись произвольного выполнения кода.
CVE-2023-6114Плагин Duplicator WordPress до версии 1.5.7.1, плагин Duplicator Pro WordPress до версии 4.5.14.2 не запрещает перечисление каталога `backups-dup-lite/tmp` (или каталога `backups-dup-pro/tmp` в версии Pro), в котором временно хранятся файлы, содержащие конфиденциальные данные. Когда в веб-сервере включено перечисление каталогов, это позволяет неаутентифицированным злоумышленникам обнаруживать и получать доступ к этим конфиденциальным файлам, которые включают полную дамп базы данных и zip-архив сайта.
CVE-2022-2551Плагин Duplicator WordPress до версии 1.4.7 раскрывает URL-адрес резервной копии неаутентифицированным посетителям, получающим доступ к основной конечной точке установщика плагина, если сценарий установщика был запущен один раз администратором, что позволяет загрузить полную резервную копию сайта без аутентификации.
CVE-2020-11738Плагин Snap Creek Duplicator до версии 1.3.28 для WordPress (и Duplicator Pro до версии 3.8.7.1) допускает обход каталогов через ../ в параметре file для duplicator_download или duplicator_init.
CVE-2023-51681Уязвимость межсайтовой подделки запросов (CSRF) в Duplicator Duplicator – WordPress Migration & Backup Plugin. Эта проблема затрагивает Duplicator – WordPress Migration & Backup Plugin: с n/a по 1.5.7.
CVE-2023-33309Неавторизованный отраженный межсайтовый скриптинг (XSS) в плагине Awesome Motive Duplicator Pro <= 4.5.11.
CVE-2018-7543Уязвимость межсайтового скриптинга (XSS) в installer/build/view.step4.php плагина SnapCreek Duplicator 1.2.32 для WordPress позволяет удаленным злоумышленникам внедрять произвольный JavaScript или HTML через параметр json.
CVE-2022-2552Плагин Duplicator WordPress до версии 1.4.7 не выполняет аутентификацию или авторизацию посетителей перед отображением информации о системе, такой как программное обеспечение сервера, версия php и полный путь к файловой системе сайта.