V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
IcegramПриложениеnvd,anchore_overrides

Icegram Express

Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.80596

Распределение по критичности

Критический
6
Высокий
5
Средний
11
Низкий
1

Затронутые диапазоны версий

< 3.1.22< 5.7.12< 5.7.14< 5.7.15< 5.7.16< 5.7.18< 5.7.20< 5.7.23< 5.7.24< 5.7.26< 5.7.27< 5.7.35< 5.7.44< 5.7.50< 5.7.52< 5.9.11≤ 5.5.2≤ 5.6.23≤ 5.9.10≤ 5.9.16
Также сопоставлено как (исходные строки): icegram_express

Топ уязвимостей

CVE-2024-6172Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для SQL-инъекций, основанных на времени, через параметр db во всех версиях до 5.7.25 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-5756Плагин Email Subscribers от Icegram Express – Email Marketing, Newsletters, Automation для WordPress & WooCommerce для WordPress уязвим для SQL-инъекции на основе времени через параметр db во всех версиях до 5.7.23 включительно из-за недостаточного экранирования предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-31352Уязвимость отсутствия авторизации в Email Subscribers & Newsletters. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.13.
CVE-2024-2876WordPress плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce уязвим для SQL-инъекций через функцию 'run' класса 'IG_ES_Subscribers_Query' во всех версиях до 5.7.14 включительно из-за недостаточного экранирования предоставленного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2022-45810Уязвимость неправильной нейтрализации элементов формул в CSV-файле в Icegram Icegram Express – Email Marketing, Newsletters and Automation для WordPress & WooCommerce. Эта проблема затрагивает Icegram Express – Email Marketing, Newsletters and Automation для WordPress & WooCommerce: от n/a до 5.5.2.
CVE-2024-37252Уязвимость Improper Neutralization of Special Elements used in an SQL Command («SQL Injection») в Icegram Email Subscribers & Newsletters позволяет использовать SQL Injection. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.25.
CVE-2024-4845Плагин Icegram Express для WordPress уязвим для SQL-инъекции через параметр ‘options[list_id]’ во всех версиях до 5.7.22 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4010Плагин Email Subscribers by Icegram Express для WordPress уязвим для несанкционированного доступа к данным, изменения данных и потери данных из-за отсутствия проверки возможности в функции handle_ajax_request во всех версиях до 5.7.19 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа подписчика и выше вызывать потерю конфиденциальности, целостности и доступности, выполняя несколько несанкционированных действий. Некоторые из этих действий также могут быть использованы для проведения атак с использованием внедрения PHP-объектов и SQL-инъекций.
CVE-2025-66055Дезериализация уязвимости ненадежных данных в Icegram Email Подписчики и информационные бюллетени электронной почты позволяет осуществлять впрыск Object Injection.Эта проблема затрагивает подписчиков и информационных бюллетеней по электронной почте: от n/a до <= 5.9.10.
CVE-2023-5414Плагин Icegram Express для WordPress уязвим для Directory Traversal в версиях до 5.6.23 включительно через функцию show_es_logs. Это позволяет злоумышленникам с правами администратора читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию, в том числе принадлежащую другим сайтам, например, в средах общего хостинга.
CVE-2024-22300Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в Icegram Email Subscribers & Newsletters допускает отраженный XSS. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.11.
CVE-2026-1651Подписчики электронной почты от плагина Icegram Express для WordPress уязвимы для SQL Injection через параметр «workflow_ids» во всех версиях до 5.9.16 из-за недостаточного утечки на параметре, предоставленного пользователем, и отсутствия достаточной подготовки к существующему запросу SQL. Это позволяет аутентифицированным злоумышленникам с доступом на уровне администратора и выше вставлять дополнительные запросы SQL в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2024-12311Плагин Email Subscribers by Icegram Express для WordPress версий до 5.7.44 не выполняет очистку и экранирование параметра перед его использованием в операторе SQL, что позволяет администраторам выполнять SQL-инъекции.
CVE-2024-8254Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для произвольного выполнения шорткодов во всех версиях до 5.7.34 включительно. Это связано с тем, что программное обеспечение позволяет пользователям выполнять действие, которое неправильно проверяет значение перед запуском do_shortcode. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Подписчик» и выше выполнять произвольные шорткоды.
CVE-2025-0671Плагин Icegram Express для WordPress до версии 5.7.50 не выполняет очистку и экранирование некоторых настроек Шаблонов, что может позволить пользователям с высокими привилегиями, такими как администратор, выполнить атаки Stored Cross-Site Scripting даже когда возможность unfiltered_html запрещена (например, в настройках мультисайта) [1]. Источники: - [1] https://wpscan.com/vulnerability/f4e04f01-31cb-4f5e-9739-12f803600e60/
CVE-2024-21748Отсутствует уязвимость авторизации в Icegram. Эта проблема затрагивает Icegram: с n/a по 3.1.21.
CVE-2025-12349Icegram Express - Подписчики электронной почты, информбюстрации и плагин автоматизации маркетинга для WordPress уязвимы для авторизации в версиях до 5.9.10. Это связано с тем, что плагин не проверяет должным образом, что пользователь имеет право выполнять действие в функции `trigger_mailing_queue_send`. Это позволяет неаутентичным злоумышленникам принудительно отправлять немедленную электронную почту, обходить расписание, увеличивать нагрузку на сервер и изменять состояние плагина (например, последний удар по электронной почте), позволяя злоупотреблять или эффекты, подобные DoS.
CVE-2025-12348Подписчики электронной почты, информационники и плагин автоматизации маркетинга для WordPress уязвим для пропуска авторизации в версиях до 5.9.10. Это связано с тем, что плагин не проверяет должным образом, что пользователь имеет право выполнять действие в функции `run_action_scheduler_task`. Это позволяет неаутентичным злоумышленникам выполнять запланированные действия на ранней стадии или неоднократно, угадывая идентификаторы действий, потенциально вызывая отправку электронной почты, задачи обслуживания или другие привилегированные операции, вызывая неожиданные изменения состояния и использование ресурсов.
CVE-2024-2656Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для Stored Cross-Site Scripting через импорт CSV во всех версиях до 5.7.14 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице. Это затрагивает только многосайтовые установки и установки, где unfiltered_html был отключен.
CVE-2024-8771Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress подвержен несанкционированному доступу к данным из-за отсутствия проверки возможностей для функции 'preview_email_template_design' во всех версиях до 5.7.34 включительно. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа не ниже Subscriber извлекать конфиденциальные данные, включая содержимое личных, защищенных паролем, ожидающих и черновиков записей и страниц.
CVE-2024-5703Плагин Email Subscribers от Icegram Express – Email Marketing, Newsletters, Automation для WordPress & WooCommerce для WordPress уязвим для несанкционированного доступа к API из-за отсутствия проверки возможностей во всех версиях до 5.7.26 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Подписчик» и выше получать доступ к API (при условии, что он включен) и добавлять, редактировать и удалять пользователей аудитории.
CVE-2024-3626Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей в функции get_template_content во всех версиях до 5.7.17 включительно. Это позволяет аутентифицированным злоумышленникам с доступом subscriber или выше получать содержимое личных и защищенных паролем записей.
CVE-2024-11924Плагин Icegram Express (ранее известный как Email Subscribers) для WordPress до версии 5.7.52 не очищает и не экранирует некоторые из своих настроек, что может позволить пользователям с высокими привилегиями, такими как администратор, выполнять атаки Stored Cross-Site Scripting, даже когда возможность unfiltered_html отключена (например, в мультисайтовой настройке). Источники: [1] https://wpscan.com/vulnerability/70288369-132d-4211-bca0-0411736df747/ Источники: - [1] https://wpscan.com/vulnerability/70288369-132d-4211-bca0-0411736df747
Перейти к вендору →Открыть в каталоге с фильтром по продукту →