Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.37762
Распределение по критичности
Критический
1
Высокий
2
Средний
1
Низкий
0
Затронутые диапазоны версий
3.0.0–3.0.4< 3.0.0
Также сопоставлено как (исходные строки): facebook,facebook_messenger,image_uploader_activex_control,photouploader
Топ уязвимостей
CVE-2008-0660Множественные переполнения буфера на основе стека в элементе управления ActiveX Aurigma Image Uploader (ImageUploader4.ocx) 4.6.17.0, 4.5.70.0 и 4.5.126.0, а также ImageUploader5 5.0.10.0, используемом Facebook PhotoUploader 4.5.57.0, позволяют удаленным злоумышленникам выполнять произвольный код через длинные свойства (1) ExtractExif и (2) ExtractIptc.
CVE-2021-24218AJAX-действия wp_ajax_save_fbe_settings и wp_ajax_delete_fbe_settings плагина Facebook for WordPress версий до 3.0.4 были уязвимы для CSRF из-за отсутствия защиты nonce. Настройки в функции saveFbeSettings не имели очистки, что позволяло сохранять теги script.
CVE-2021-24217Функция run_action плагина Facebook for WordPress версий до 3.0.0 десериализует данные, предоставленные пользователем, что позволяет предоставлять объекты PHP, создавая уязвимость внедрения объектов. В плагине также был используемый магический метод, который можно было использовать для достижения удаленного выполнения кода.
CVE-2014-6392Уязвимость межсайтового скриптинга (XSS) в приложении Facebook 14.0 и приложении Facebook Messenger 10.0 для iOS позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное расширение имени файла, которое неправильно обрабатывается во время MIME-сниффинга чат-трафика. ПРИМЕЧАНИЕ: поставщик оспаривает значимость этого отчета, поскольку пользователь должен принять промежуточное предупреждение, прежде чем будет отображено содержимое HTML-файла, и поскольку происхождение HTML-контента является доменом песочницы.