Jeg Elementor Kit
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.01594
Распределение по критичности
Критический
0
Высокий
1
Средний
18
Низкий
0
Затронутые диапазоны версий
< 2.5.7< 2.6.10< 2.6.13< 2.6.3< 2.6.4< 2.6.5< 2.6.6< 2.6.8< 2.6.9≤ 2.6.11≤ 3.0.1≤ 3.1.0
Также сопоставлено как (исходные строки): jeg_elementor_kit
Топ уязвимостей
CVE-2022-3805Плагин Jeg Elementor Kit для WordPress уязвим для обхода авторизации в различных функциях, используемых для обновления настроек плагина в версиях до 2.5.6 включительно. Не прошедшие проверку подлинности пользователи могут использовать легкодоступный nonce, полученный со страниц, отредактированных плагином, для обновления ключа API MailChimp, глобальных стилей, настроек страницы 404 и включенных элементов.
CVE-2026-6916Jeg Kit for Elementor – Powerful Addons for Elementor, Widgets & Templates для плагина WordPress для WordPress уязвим для хранения Cross-Site Scripting через параметр 'sg_content_number_prefix' во всех версиях до 3.1,0 из-за недостаточной вводимой санации и выходного выхода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-2944Плагин Jeg Elementor Kit для WordPress уязвим к Stored Cross-Site Scripting через виджеты Video Button и Countdown во всех версиях до 2.6.12 включительно из-за недостаточной проверки и экранирования вводимых пользователем атрибутов. Это позволяет аутентифицированным злоумышленникам с правами contributor и выше внедрять произвольные веб-скрипты, которые будут выполнены при доступе к внедренной странице. Обновление до версии 2.6.13 или более поздней устраняет эту уязвимость [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/7baa8cca-96a5-4d6b-86d5-53cd1a4675cf?source=cve
CVE-2025-14275Плагин Jeg Elementor Kit для WordPress уязвим для хранения кросс-сайта во всех версиях до 3.0.1 из-за недостаточной санации ввода в функции перенаправления виджета обратного отсчета. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольный JavaScript, который будет выполняться, когда администратор или другой пользователь просматривает страницу, содержащую вредоносный элемент обратного отсчета.
CVE-2024-6804Плагин Jeg Elementor Kit для WordPress уязвим для хранения межсайтового скриптинга через загрузку SVG-файлов во всех версиях до 2.6.7 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Author и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к SVG-файлу.
CVE-2024-47390Неправильная нейтрализация входных данных при генерации веб-страницы (XSS или «межсайтовый скриптинг») в Jegtheme Jeg Elementor Kit допускает сохранение XSS. Эта проблема затрагивает Jeg Elementor Kit: от n/a до 2.6.8.
CVE-2024-4479Плагин Jeg Elementor Kit для WordPress уязвим для Stored Cross-Site Scripting через атрибуты sg_general_toggle_tab_enable и sg_accordion_style в виджете плагина JKit - Tabs и JKit - Accordion, соответственно, во всех версиях до 2.6.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет прошедшим проверку подлинности злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-3819Плагин Jeg Elementor Kit для WordPress подвержен межсайтовому скриптингу (Stored Cross-Site Scripting) через виджет JKit - Banner плагина во всех версиях до 2.6.4 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с правами доступа уровня contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-32721Неправильная нейтрализация ввода при генерации веб-страницы (межсайтовый скриптинг) уязвимость в Jegtheme Jeg Elementor Kit позволяет хранить XSS. Эта проблема затрагивает Jeg Elementor Kit: от n/a до 2.6.3.
CVE-2024-3162Плагин Jeg Elementor Kit для WordPress уязвим для Stored Cross-Site Scripting через атрибуты виджета Testimonial во всех версиях до 2.6.3 включительно из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами доступа contributor или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу. CVE-2024-32721, вероятно, является дубликатом этой проблемы.
CVE-2024-3161Плагин Jeg Elementor Kit для WordPress уязвим для Stored Cross-Site Scripting через атрибуты виджета обратного отсчета во всех версиях до 2.6.4 включительно из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами доступа contributor или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-29101Уязвимость неправильной нейтрализации ввода во время генерации веб-страницы («межсайтовый скриптинг») в Jegtheme Jeg Elementor Kit позволяет выполнить Stored XSS. Эта проблема затрагивает Jeg Elementor Kit: от n/a до 2.6.2.
CVE-2024-1327Плагин Jeg Elementor Kit для WordPress уязвим для хранения межсайтового скриптинга (XSS) через виджет image box плагина во всех версиях до 2.6.3 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-1326Плагин Jeg Elementor Kit для WordPress уязвим для хранения межсайтового скриптинга (XSS) через атрибуты HTML-тегов во всех версиях до 2.6.2 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-10308Плагин Jeg Elementor Kit для WordPress уязвим для хранения межсайтового скриптинга через виджет JKit - Countdown плагина во всех версиях до 2.6.9 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа не ниже участника внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-0334Плагин Jeg Elementor Kit для WordPress уязвим для сохраненного межсайтового скриптинга через пользовательский атрибут ссылки в нескольких виджетах Elementor во всех версиях до 2.6.4 включительно из-за недостаточной очистки ввода и экранирования вывода для предоставленных пользователем атрибутов. Это позволяет аутентифицированным злоумышленникам с доступом уровня участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-8899Плагин Jeg Elementor Kit для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до 2.6.9 включительно через функцию render_content в class/elements/views/class-tabs-view.php. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше извлекать конфиденциальные личные, ожидающие и черновые данные шаблонов.
CVE-2024-13217Плагин Jeg Elementor Kit для WordPress уязвим к утечке конфиденциальной информации во всех версиях до и включая 2.6.11 через функции 'expired_data' и 'build_content'. Это позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше извлекать конфиденциальные данные частных, ожидающих, запланированных и черновых шаблонов.
CVE-2022-3794Плагин Jeg Elementor Kit для WordPress уязвим для обхода авторизации в различных действиях AJAX в версиях до 2.5.6 включительно. Аутентифицированные пользователи могут использовать легкодоступное значение nonce для создания шаблонов заголовков и внесения дополнительных изменений на сайт, поскольку плагин не использует проверки возможностей для этой цели.