Eventer
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00714
Распределение по критичности
Критический
1
Высокий
2
Средний
7
Низкий
0
Затронутые диапазоны версий
< 3.11.2.2< 3.9.8< 3.9.9< 3.9.9.1< 3.9.9.3≤ 3.9.6≤ 3.9.9≤ 3.9.9.4
Также сопоставлено как (исходные строки): eventer
Топ уязвимостей
CVE-2025-39481Уязвимость неправильной нейтрализации специальных элементов, используемых в команде SQL ('SQL-инъекция') в плагине Eventer для WordPress позволяет осуществить слепую SQL-инъекцию. Эта проблема затрагивает версии Eventer до 3.9.6 [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/eventer/vulnerability/wordpress-eventer-wordpress-event-booking-manager-plugin-plugin-3-9-6-sql-injection-vulnerability?_s_id=cve
CVE-2025-39482Уязвимость отсутствия авторизации в плагине imithemes Eventer позволяет эксплуатировать некорректные настройки контроля доступа. Эта проблема затрагивает Eventer: от n/a до версии 3.9.6 включительно. Плагин, вероятно, был оставлен без поддержки, и рекомендуется заменить его на альтернативный [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/eventer/vulnerability/wordpress-eventer-wordpress-event-booking-manager-plugin-plugin-3-9-6-broken-access-control-vulnerability?_s_id=cve
CVE-2024-11135Плагин Eventer для WordPress уязвим для SQL-инъекций через параметр 'event' в функции 'eventer_get_attendees' во всех версиях до 3.9.8 включительно из-за недостаточного экранирования предоставленного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2025-39483Неправильный контроль генерации кода (уведомление кода) в imithemes Eventer eventer позволяет код-инъекции. Эта проблема затрагивает Eventer: от n/a до < 3.9.9.1.
CVE-2025-0959Плагин Eventer - WordPress Event & Booking Manager для WordPress уязвим к SQL-инъекции через параметр reg_id во всех версиях до и включая 3.9.9.2 из-за недостаточного экранирования пользовательского параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным атакующим с доступом уровня Подписчика и выше добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2024-11134Плагин Eventer для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей в функции 'eventer_export_bookings_csv' во всех версиях до 3.9.9 включительно. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем разрешений subscriber и выше загружать данные о бронированиях, которые содержат персональные данные клиентов.
CVE-2024-10799Плагин Eventer для WordPress уязвим к обходу каталога во всех версиях до и включая 3.9.7 через функцию eventer_woo_download_tickets(). Это позволяет аутентифицированным злоумышленникам с доступом уровня подписчика и выше читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
CVE-2025-22635Недостаточная нейтрализация входных данных во время генерации веб-страниц (уязвимость 'Cross-site Scripting') в Jyothis Joy Eventer позволяет выполнять отраженный XSS. Эта проблема затрагивает Eventer: с n/a до n/a.
CVE-2024-11132Плагин Eventer для WordPress уязвим для сохраненного межсайтового скриптинга через шорткоды в версиях до 3.9.9 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставленных пользователем. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем разрешений contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-11133Плагин Eventer для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей в функции 'handle_pdf_download_request' во всех версиях до 3.9.9 включительно. Это позволяет не прошедшим проверку подлинности злоумышленникам загружать билеты на мероприятия.