Wp Easy Contact
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.1
Макс. EPSS
0.0092
Распределение по критичности
Критический
0
Высокий
2
Средний
6
Низкий
0
Затронутые диапазоны версий
< 4.0.1< 4.0.2≤ 1.2.1≤ 1.9.0≤ 1.9.1≤ 4.0.2≤ 5.0.0
Также сопоставлено как (исходные строки): wp_easy_contact
Топ уязвимостей
CVE-2025-8420Плагин Request a Quote Form для WordPress уязвим к выполнению произвольного кода через функцию emd_form_builder_lite_pagenum в версиях <= 2.5.2. Это связано с тем, что плагин не проверяет должным образом вводимые пользователем данные перед использованием их в качестве имени функции. Это позволяет неаутентифицированным злоумышленникам выполнять код на сервере, однако параметры не могут быть переданы вызываемым функциям [1].
В версии 2.5.3 проблема была исправлена путем проверки входных данных для функции emd_form_builder_lite_pagenum [2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/601aa2b5-aeac-49bc-960d-4b4ff83e9229?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3338854%40request-a-quote&new=3338854%40request-a-quote&sfp_email=&sfph_mail=
CVE-2025-53572Уязвимость десериализации недоверенных данных в плагине WP Easy Contact для WordPress позволяет выполнить инъекцию объектов. Эта проблема затрагивает WP Easy Contact версии до 4.0.1 [1].
Рекомендуется обновить плагин до версии 4.0.2 или более поздней.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/wp-easy-contact/vulnerability/wordpress-wp-easy-contact-plugin-4-0-1-php-object-injection-vulnerability?_s_id=cve
CVE-2026-1279Плагин Employee Directory для WordPress уязвим для Хранимого кросс-сайта по параметру «form_title» в коротком коде `search_employe_directory` во всех версиях до 1,2.1 и включая 1,2.1 из-за недостаточной дезинфекции ввода и выхода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-8315Плагин WP Easy Contact для WordPress уязвим к межсайтовому скриптингу (XSS) через параметр 'noaccess_msg' во всех версиях до 4.0.1 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с доступом уровня Автора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к заражённой странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/229c88ea-c091-43b6-ac4d-31bccdd13a07?source=cve
- [2] https://plugins.svn.wordpress.org/wp-easy-contact/tags/4.0.1/includes/emd-form-builder-lite/emd-form-frontend.php
- [3] https://wordpress.org/plugins/wp-easy-contact/#developers
- [4] https://plugins.trac.wordpress.org/changeset/3337661
CVE-2025-8314Плагин Software Issue Manager для WordPress уязвим к межсайтовому скриптингу (XSS) через параметр 'noaccess_msg' во всех версиях до 5.0.1 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницах, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/3ef87ab8-d56b-4d3a-b4fc-6c17c24143ec?source=cve
- [2] https://plugins.svn.wordpress.org/software-issue-manager/tags/5.0.0/includes/emd-form-builder-lite/emd-form-frontend.php
- [3] https://wordpress.org/plugins/software-issue-manager/#developers
- [4] https://plugins.trac.wordpress.org/changeset/3341018/
CVE-2025-8313Плагин Campus Directory для WordPress уязвим к хранимому межсайтовому скриптингу через параметр ‘noaccess_msg’ во всех версиях вплоть до 1.9.1 включительно из-за недостаточной очистки входных данных и экранирования выходных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе к внедренной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/ee031b29-a334-4df4-8c03-4ffd306e38ea?source=cve
- [2] https://plugins.svn.wordpress.org/campus-directory/tags/1.9.1/includes/emd-form-builder-lite/emd-form-frontend.php
- [3] https://wordpress.org/plugins/campus-directory/#developers
- [4] https://plugins.trac.wordpress.org/changeset/3337642
CVE-2025-5539Плагин Simple Contact Form Plugin for WordPress – WP Easy Contact для WordPress уязвим к хранимому межсайтовому скриптингу через шорткод 'emd_mb_meta' во всех версиях вплоть до 4.0.0 включительно из-за недостаточной проверки и экранирования вводимых пользователем данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже contributor внедрять произвольный веб-скрипт в страницы, который будет выполнен при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/f584a439-3373-441c-a73e-5931ae63e7ae?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3296825%40wp-easy-contact&new=3296825%40wp-easy-contact&sfp_email=&sfph_mail=
CVE-2025-5532Плагин Campus Directory – Faculty, Staff & Student Directory для WordPress уязвим к межсайтовому скриптингу (XSS) через шорткод 'emd_mb_meta' во всех версиях до 1.9.0 включительно из-за недостаточной проверки и экранирования вводимых пользователем данных. Это позволяет аутентифицированным злоумышленникам с правами доступа уровня contributor и выше внедрять произвольный веб-скрипт на страницы, которые будут выполнены при обращении пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/20301685-9b76-4dd3-8185-3a4463f3201b?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3303022%40campus-directory&new=3303022%40campus-directory&sfp_email=&sfph_mail=