Call Now Button
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
6.1
Макс. EPSS
0.00757
Распределение по критичности
Критический
0
Высокий
0
Средний
5
Низкий
0
Затронутые диапазоны версий
< 1.1.2< 1.4.14< 1.4.7< 1.5.4< 1.5.5
Также сопоставлено как (исходные строки): call_now_button
Топ уязвимостей
CVE-2022-1455Плагин Call Now Button WordPress до версии 1.1.2 не экранирует параметр перед его выводом обратно в атрибуте скрытого ввода, что приводит к отраженному межсайтовому скриптингу, когда премиум включен.
CVE-2025-24738Уязвимость Cross-Site Request Forgery (CSRF) в NowButtons.com Call Now Button позволяет осуществлять переход по межсайтовым запросам. Эта проблема затрагивает Call Now Button: от n/a до 1.4.13.
CVE-2025-11632Кнопка «Зови сейчас» - Кнопка #1 Click to Call для плагина WordPress для WordPress уязвима для несанкционированного доступа к данным из-за отсутствующей проверки возможностей нескольких функций во всех версиях до 1.5.4. Это позволяет аутентифицированным злоумышленники с доступом на уровне подписчиков и выше генерировать ссылки на биллинговый портал, где они могут просматривать и изменять платежную информацию подключенного, учетную запись, генерировать токены сеансов чата, статус домена просмотра и т. Д.
Эта уязвимость была частично исправлена в версии 1.5.4 и полностью исправлена в версии 1.5.5
CVE-2025-11587Кнопка «Зов сейчас» - Кнопка #1 «Кликнуть к вызову» для плагина WordPress для WordPress уязвима для несанкционированной модификации данных из-за отсутствующей проверки функции активации во всех версиях до 1,5.3. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше привязать плагин к своей учетной записи now buttontons.com и добавить вредоносные кнопки на сайт. Уязвимость может быть использована только на свежих установках, где плагин ранее не был настроен с помощью ключа API.
CVE-2024-2908Плагин Call Now Button WordPress до версии 1.4.7 не очищает и не экранирует некоторые свои настройки, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting), даже если возможность unfiltered_html запрещена (например, в многосайтовой установке).