Mstore Api
Уязвимости
29
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.67511
Распределение по критичности
Критический
11
Высокий
5
Средний
12
Низкий
1
Затронутые диапазоны версий
< 3.2.0< 3.9.7< 3.9.8< 3.9.9< 4.0.7< 4.15.0< 4.15.3< 4.15.4< 4.15.8< 4.16.5< 4.17.5< 4.17.6≤ 2.1.5≤ 3.9.0≤ 3.9.1≤ 3.9.2≤ 3.9.6≤ 3.9.7≤ 4.0.1≤ 4.10.1≤ 4.10.7≤ 4.18.3
Также сопоставлено как (исходные строки): mstore_api
Топ уязвимостей
CVE-2024-6328Плагин MStore API – Create Native Android & iOS Apps On The Cloud для WordPress уязвим для обхода аутентификации во всех версиях до 4.14.7 включительно. Это связано с недостаточной проверкой параметра 'phone' функций 'firebase_sms_login' и 'firebase_sms_login_v2'. Это позволяет неаутентифицированным злоумышленникам входить в систему под именем любого существующего пользователя на сайте, например администратора, если у них есть доступ к адресу электронной почты или номеру телефона. Кроме того, если указан новый адрес электронной почты, создается новая учетная запись пользователя с ролью по умолчанию, даже если регистрация отключена.
CVE-2023-45055Уязвимость Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') в InspireUI MStore API позволяет осуществить SQL-инъекцию. Эта проблема затрагивает MStore API: от n/a до 4.0.6.
CVE-2023-3277Плагин MStore API для WordPress уязвим для несанкционированного доступа к учетной записи и повышения привилегий в версиях до 4.10.7 включительно из-за неправильной реализации функции входа в систему Apple. Это позволяет не прошедшим проверку подлинности злоумышленникам входить в систему под любым пользователем, если им известен адрес электронной почты пользователя. Мы раскрываем эту проблему, поскольку разработчик еще не выпустил патч, но продолжает выпускать обновления, и мы передали эту проблему команде плагина 30 дней назад.
CVE-2023-3197Плагин MStore API для WordPress подвержен не прошедшей проверку подлинности слепой SQL-инъекции через параметр 'id' в версиях до 4.0.1 включительно из-за недостаточного экранирования предоставленных пользователем параметров и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2023-3077Плагин MStore API WordPress до версии 3.9.8 не очищает и не экранирует параметр перед его использованием в операторе SQL, что приводит к Blind SQL-инъекции, используемой неаутентифицированными пользователями. Это можно использовать только в том случае, если владелец сайта решил заплатить за доступ к профессиональным функциям плагинов и использует плагин woocommerce-appointments.
CVE-2023-3076Плагин MStore API WordPress до версии 3.9.9 не препятствует посетителям создавать учетные записи пользователей с выбранной ими ролью через свою оптовую конечную точку REST API. Это можно использовать только в том случае, если владелец сайта заплатил за доступ к профессиональным функциям плагина.
CVE-2023-2734Плагин MStore API для WordPress подвержен обходу аутентификации в версиях до 3.9.1 включительно. Это связано с недостаточной проверкой пользователя, предоставляемого во время запроса REST API синхронизации корзины с мобильного устройства через плагин. Это позволяет неаутентифицированным злоумышленникам войти в систему как любой существующий пользователь на сайте, например, как администратор, если у них есть доступ к идентификатору пользователя.
CVE-2023-2733Плагин MStore API для WordPress подвержен обходу аутентификации в версиях до 3.9.0 включительно. Это связано с недостаточной проверкой пользователя, предоставляемого во время запроса REST API погашения купона через плагин. Это позволяет неаутентифицированным злоумышленникам войти в систему как любой существующий пользователь на сайте, например, как администратор, если у них есть доступ к идентификатору пользователя.
CVE-2023-2732Плагин MStore API для WordPress подвержен обходу аутентификации в версиях до 3.9.2 включительно. Это связано с недостаточной проверкой пользователя, предоставляемого во время запроса REST API добавления листинга через плагин. Это позволяет неаутентифицированным злоумышленникам войти в систему как любой существующий пользователь на сайте, например, как администратор, если у них есть доступ к идентификатору пользователя.
CVE-2021-24148Проблема с бизнес-логикой в плагине MStore API WordPress, версий до 3.2.0, имела обход проверки подлинности с Sign In With Apple, позволяющий не прошедшим проверку подлинности пользователям восстанавливать файл cookie проверки подлинности только с адресом электронной почты.
CVE-2020-36713Плагин MStore API для WordPress уязвим для обхода аутентификации в версиях до 2.1.5 включительно. Это связано с неограниченным доступом к маршрутам 'register' и 'update_user_profile'. Это позволяет неаутентифицированным злоумышленникам создавать новые учетные записи администратора, удалять существующие учетные записи администратора или повышать привилегии любой учетной записи.
CVE-2024-8242Плагин MStore API – Create Native Android & iOS Apps On The Cloud для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файла в функции update_user_profile() во всех версиях до 4.15.3 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Подписчик» и выше загружать произвольные файлы (не включая PHP-файлы) на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода. Это можно объединить с конечной точкой регистрации для неаутентифицированных пользователей, чтобы использовать эту проблему.
CVE-2023-50878Уязвимость Cross-Site Request Forgery (CSRF) в InspireUI MStore API. Эта проблема затрагивает MStore API: версии от n/a до 4.10.1.
CVE-2024-7628Плагин MStore API – Create Native Android & iOS Apps On The Cloud для WordPress уязвим для обхода аутентификации в версиях до 4.15.2 включительно. Это связано с использованием слабого сравнения в функции 'verify_id_token'. Это позволяет неаутентифицированным злоумышленникам входить в систему от имени любого существующего пользователя на сайте, например администратора, если у них есть доступ к адресу электронной почты или номеру телефона @flutter.io. Это также требует, чтобы firebase был настроен на веб-сайте, а у пользователя была настроена firebase для своей учетной записи.
CVE-2022-47614Unauth. SQL Injection (SQLi) vulnerability in InspireUI MStore API plugin <= 3.9.7 versions.
CVE-2025-3438Плагин MStore API для WordPress уязвим к ограниченному повышению привилегий во всех версиях до 4.17.4 включительно. Это связано с отсутствием ограничения роли при регистрации. Это позволяет неаутентифицированным злоумышленникам зарегистрироваться с ролью 'wcfm_vendor', которая является ролью Store Vendor в плагине WCFM Marketplace для WordPress. Уязвимость может быть эксплуатирована только если плагин WCFM Marketplace установлен и активирован. Уязвимость была частично исправлена в версии 4.17.3 [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/be5d86ad-f94b-4fcb-9b74-ecddde2bf29d?source=cve
- [2] https://plugins.trac.wordpress.org/browser/mstore-api/trunk/controllers/flutter-user.php#L392
- [3] https://plugins.trac.wordpress.org/browser/mstore-api/trunk/controllers/flutter-user.php#L413
- [4] https://plugins.trac.wordpress.org/changeset/3277790
- [5] https://plugins.trac.wordpress.org/changeset/3279132/
CVE-2024-8269Плагин MStore API – Create Native Android & iOS Apps On The Cloud для WordPress уязвим для несанкционированной регистрации пользователей во всех версиях до 4.15.3 включительно. Это связано с тем, что плагин не проверяет, включена ли регистрация пользователей, перед созданием учетной записи пользователя через функцию register(). Это позволяет неаутентифицированным злоумышленникам создавать учетные записи пользователей на сайтах, даже если регистрация пользователей отключена, а функциональность плагина не активирована.
CVE-2024-11179Плагин MStore API – Create Native Android & iOS Apps On The Cloud для WordPress уязвим для SQL-инъекций через параметр 'status_type' во всех версиях до 4.15.7 включительно из-за недостаточного экранирования предоставленного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа Subscriber и выше добавлять дополнительные SQL-запросы в уже существующие запросы, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-12042Плагин MStore API – Create Native Android \u0026 iOS Apps On The Cloud для WordPress подвержен хранимой межсайтовой уязвимости (XSS) через функцию загрузки изображений профиля во всех версиях до 4.16.4 включительно из-за недостаточной проверки типа файла. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Подписчик» и выше загружать HTML-файлы с произвольными веб-скриптами, которые будут выполняться всякий раз, когда пользователь обращается к файлу.
CVE-2026-3568Плагин MStore API для WordPress уязвим для Insecure Direct Object Reference во всех версиях до 4,18.3. Это связано с функцией update_user_profile() в контроллерах/flutter-user.php обработке параметра 'meta_data' JSON без какого-либо разрешительного списка, блочного списка или проверки мета-ключей. Функция считывает необработанный JSON от php://input (линия 1012), декодирует его (линия 1013), аутентифицирует пользователя через валидацию cookie (линия 1015), а затем напрямую итерирует поставляемый пользователем массив мета_дата, пропускающий произвольные ключи и значения по update_user_meta() (линия 1080) без дезинфекции или ограничений. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше изменять произвольные поля пользовательских метаподавок на своих собственных учетных записях, включая такие чувствительные поля, как wp_user_level (для эскалации до проверок на уровне администратора), флаги авторизации для плагинов (например, _wpuf_user_active, aiowps_account_status) и поля выставления/профиля с несанитированными значениями. Обратите внимание, что wp_capabilities не может быть непосредственно использован таким образом, потому что это требует серийного значения массива, но wp_user_level (простое целое число) и многочисленные мета-ключи для плагина эксплуатируются.
CVE-2025-4683MStore API - Создание Native Android и iOS Apps On The Cloud для плагина WordPress уязвим для несанкционированной модификации данных из-за отсутствующей проверки возможностей функции create_blog во всех версиях до 4,17.5. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчиков и выше создавать новые сообщения.
CVE-2023-3203Плагин MStore API для WordPress подвержен межсайтовой подделке запросов из-за отсутствия проверки nonce в функции mstore_update_limit_product. Это позволяет не прошедшим проверку подлинности злоумышленникам обновить лимит количества продуктов на категорию для использования данных кеша на главном экране с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-3202Плагин MStore API для WordPress подвержен межсайтовой подделке запросов из-за отсутствия проверки nonce в функции mstore_update_firebase_server_key. Это позволяет не прошедшим проверку подлинности злоумышленникам обновить ключ сервера firebase для отправки push-уведомлений при изменении статуса заказа с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-3201Плагин MStore API для WordPress подвержен межсайтовой подделке запросов из-за отсутствия проверки nonce в функции mstore_update_new_order_title. Это позволяет не прошедшим проверку подлинности злоумышленникам обновлять заголовок нового заказа с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-3200Плагин MStore API для WordPress подвержен межсайтовой подделке запросов из-за отсутствия проверки nonce в функции mstore_update_new_order_message. Это позволяет не прошедшим проверку подлинности злоумышленникам обновлять сообщение о новом заказе с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.