V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
IcegramПриложениеnvd,anchore_overrides

Email Subscribers \& Newsletters

Уязвимости
36
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.8511

Распределение по критичности

Критический
7
Высокий
6
Средний
23
Низкий
0

Затронутые диапазоны версий

< 3.4.8< 4.2.3< 4.3.1< 4.5.6< 5.3.2< 5.5.1< 5.7.14< 5.7.15< 5.7.16< 5.7.18< 5.7.20< 5.7.21< 5.7.23< 5.7.26< 5.7.27< 5.7.35< 5.7.44< 5.7.45< 5.7.50< 5.9.11≤ 4.1.7≤ 5.9.10≤ 5.9.16
Также сопоставлено как (исходные строки): email_subscribers_&_newsletters

Топ уязвимостей

CVE-2024-6172Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для SQL-инъекций, основанных на времени, через параметр db во всех версиях до 5.7.25 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4295Плагин Email Subscribers by Icegram Express для WordPress уязвим для SQL-инъекций через параметр «hash» во всех версиях до 5.7.20 включительно из-за недостаточной экранировки предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-31352Уязвимость отсутствия авторизации в Email Subscribers & Newsletters. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.13.
CVE-2024-2876WordPress плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce уязвим для SQL-инъекций через функцию 'run' класса 'IG_ES_Subscribers_Query' во всех версиях до 5.7.14 включительно из-за недостаточного экранирования предоставленного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2019-20361В плагине WordPress Email Subscribers & Newsletters до версии 4.3.1 была обнаружена уязвимость, которая позволяла передавать SQL-операторы в базу данных в параметре hash (уязвимость слепой SQL-инъекции).
CVE-2019-13569Уязвимость SQL-инъекции существует в плагине Icegram Email Subscribers & Newsletters до версии 4.1.7 для WordPress. Успешная эксплуатация этой уязвимости позволит удаленному злоумышленнику выполнять произвольные SQL-команды в затронутой системе.
CVE-2024-37252Уязвимость Improper Neutralization of Special Elements used in an SQL Command («SQL Injection») в Icegram Email Subscribers & Newsletters позволяет использовать SQL Injection. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.25.
CVE-2024-4845Плагин Icegram Express для WordPress уязвим для SQL-инъекции через параметр ‘options[list_id]’ во всех версиях до 5.7.22 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4010Плагин Email Subscribers by Icegram Express для WordPress уязвим для несанкционированного доступа к данным, изменения данных и потери данных из-за отсутствия проверки возможности в функции handle_ajax_request во всех версиях до 5.7.19 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа подписчика и выше вызывать потерю конфиденциальности, целостности и доступности, выполняя несколько несанкционированных действий. Некоторые из этих действий также могут быть использованы для проведения атак с использованием внедрения PHP-объектов и SQL-инъекций.
CVE-2022-3981Плагин Icegram Express WordPress до версии 5.5.1 неправильно очищает и экранирует параметр перед использованием его в SQL-запросе, что приводит к SQL-инъекции, эксплуатируемой любым аутентифицированным пользователем, например подписчиком.
CVE-2022-0439Плагин Email Subscribers & Newsletters WordPress до версии 5.3.2 некорректно экранирует параметры `order` и `orderby` для действия `ajax_fetch_report_list`, что делает его уязвимым для атак слепой SQL-инъекции со стороны пользователей с ролями вплоть до подписчика. Кроме того, для этого действия не предусмотрена защита CSRF, что позволяет злоумышленнику обманом заставить любого вошедшего в систему пользователя выполнить это действие, щелкнув ссылку.
CVE-2018-6015Обнаружена проблема в плагине "Email Subscribers & Newsletters" до версии 3.4.8 для WordPress. Отправка HTTP POST-запроса к URI с /?es=export в конце и добавление option=view_all_subscribers в тело позволяет загрузить файл данных CSV со всеми данными подписчиков.
CVE-2025-66055Дезериализация уязвимости ненадежных данных в Icegram Email Подписчики и информационные бюллетени электронной почты позволяет осуществлять впрыск Object Injection.Эта проблема затрагивает подписчиков и информационных бюллетеней по электронной почте: от n/a до <= 5.9.10.
CVE-2026-1651Подписчики электронной почты от плагина Icegram Express для WordPress уязвимы для SQL Injection через параметр «workflow_ids» во всех версиях до 5.9.16 из-за недостаточного утечки на параметре, предоставленного пользователем, и отсутствия достаточной подготовки к существующему запросу SQL. Это позволяет аутентифицированным злоумышленникам с доступом на уровне администратора и выше вставлять дополнительные запросы SQL в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2024-12311Плагин Email Subscribers by Icegram Express для WordPress версий до 5.7.44 не выполняет очистку и экранирование параметра перед его использованием в операторе SQL, что позволяет администраторам выполнять SQL-инъекции.
CVE-2020-5767Межсайтовая подделка запросов в плагине Icegram Email Subscribers & Newsletters для WordPress v4.4.8 позволяет удаленному злоумышленнику отправлять поддельные электронные письма, обманом заставляя законных пользователей нажимать на специально созданную ссылку.
CVE-2024-8254Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для произвольного выполнения шорткодов во всех версиях до 5.7.34 включительно. Это связано с тем, что программное обеспечение позволяет пользователям выполнять действие, которое неправильно проверяет значение перед запуском do_shortcode. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Подписчик» и выше выполнять произвольные шорткоды.
CVE-2019-19984Плагин WordPress, Email Subscribers & Newsletters, до версии 4.2.3 имел недостаток, который позволял пользователям с возможностями edit_post управлять настройками плагина и почтовыми кампаниями.
CVE-2025-0671Плагин Icegram Express для WordPress до версии 5.7.50 не выполняет очистку и экранирование некоторых настроек Шаблонов, что может позволить пользователям с высокими привилегиями, такими как администратор, выполнить атаки Stored Cross-Site Scripting даже когда возможность unfiltered_html запрещена (например, в настройках мультисайта) [1]. Источники: - [1] https://wpscan.com/vulnerability/f4e04f01-31cb-4f5e-9739-12f803600e60/
CVE-2019-14364Уязвимость XSS в плагине "Email Subscribers & Newsletters" 4.1.6 для WordPress позволяет злоумышленнику внедрять вредоносный код JavaScript через общедоступную форму подписки, используя параметр POST esfpx_name wp-admin/admin-ajax.php.
CVE-2019-19981Плагин WordPress, Email Subscribers & Newsletters, до версии 4.2.3 имел недостаток, который позволял использовать CSRF для всех настроек плагина.
CVE-2025-12349Icegram Express - Подписчики электронной почты, информбюстрации и плагин автоматизации маркетинга для WordPress уязвимы для авторизации в версиях до 5.9.10. Это связано с тем, что плагин не проверяет должным образом, что пользователь имеет право выполнять действие в функции `trigger_mailing_queue_send`. Это позволяет неаутентичным злоумышленникам принудительно отправлять немедленную электронную почту, обходить расписание, увеличивать нагрузку на сервер и изменять состояние плагина (например, последний удар по электронной почте), позволяя злоупотреблять или эффекты, подобные DoS.
CVE-2025-12348Подписчики электронной почты, информационники и плагин автоматизации маркетинга для WordPress уязвим для пропуска авторизации в версиях до 5.9.10. Это связано с тем, что плагин не проверяет должным образом, что пользователь имеет право выполнять действие в функции `run_action_scheduler_task`. Это позволяет неаутентичным злоумышленникам выполнять запланированные действия на ранней стадии или неоднократно, угадывая идентификаторы действий, потенциально вызывая отправку электронной почты, задачи обслуживания или другие привилегированные операции, вызывая неожиданные изменения состояния и использование ресурсов.
CVE-2020-5780Отсутствие аутентификации для критической функции в плагине Icegram Email Subscribers & Newsletters для WordPress до версии 4.5.6 позволяет удаленному неаутентифицированному злоумышленнику проводить неаутентифицированную подделку/спуфинг электронной почты.
CVE-2019-19985Плагин WordPress, Email Subscribers & Newsletters, до версии 4.2.3 имел недостаток, который позволял загружать неаутентифицированные файлы с раскрытием информации о пользователях.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →