Schema \& Structured Data For Wp \& Amp
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.00431
Распределение по критичности
Критический
1
Высокий
0
Средний
9
Низкий
0
Затронутые диапазоны версий
< 1.27< 1.30< 1.34.1< 1.36< 1.50< 1.52< 1.54.1< 1.60≤ 1.25
Также сопоставлено как (исходные строки): schema_&_structured_data_for_wp_&_amp
Топ уязвимостей
CVE-2026-9067Плагин Schema & Structured Data для WP & AMP WordPress до 1.60 не проверяет пользовательские возможности на своих интерфейсных обработчиках файлов AJAX и не проверяет фактическое содержимое загруженных файлов по назначенному типу носителей конечной точки, позволяя неаутентифицированным пользователям загружать любой тип файла, принятый медиатекцией WordPress, через конечные точки, которые должны принимать только изображения или видео.
CVE-2025-14069Schema & Structured Data для плагина WP & AMP для WordPress уязвим для Хранимого кросс-сайта в поле профиля «saswp_custom_schema_field» во всех версиях до 1,54 из-за недостаточной санации ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-11502Schema & Structured Data для WP & AMP плагин для WordPress уязвим для Хранимого кросс-сайта с помощью шорт-кода плагина 'saswp_tiny_multiple_faq' во всех версиях до, в том числе, из-за недостаточной санации ввода и выхода вывода на пользовательских атрибутах. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2024-3491Плагин Schema & Structured Data for WP & AMP для WordPress уязвим для хранимого межсайтового скриптинга через блоки "How To" и "FAQ" плагина во всех версиях до 1.29 включительно из-за недостаточной очистки входных данных и экранирования вывода в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2025-9512Плагин Schema & Structured Data для WP & AMP WordPress до 1.50 не обрабатывает должным образом изменения атрибутов HTML-тегов, что позволяет неаутентифицированным злоумышленники проводить атаки Stored XSS с помощью комментариев.
CVE-2024-5582Плагин Schema & Structured Data for WP & AMP для WordPress уязвим для Stored Cross-Site Scripting через атрибут «url» в виджете Q&A Block плагина во всех версиях до 1.33 включительно из-за недостаточной очистки входных данных и экранирования выходных данных для атрибутов, предоставленных пользователем. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-22146Неправильная нейтрализация ввода во время генерации веб-страницы ('Cross-site Scripting') уязвимость в Magazine3 Schema & Structured Data for WP & AMP позволяет Stored XSS. Эта проблема затрагивает Schema & Structured Data for WP & AMP: от n/a до 1.25.
CVE-2024-1586Плагин Schema & Structured Data for WP & AMP для WordPress уязвим для межсайтового скриптинга (Stored Cross-Site Scripting) через пользовательскую схему во всех версиях до 1.26 включительно из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет аутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу. По умолчанию требуемый уровень аутентификации — администратор, но администраторы имеют возможность назначать пользователям доступ на основе ролей вплоть до подписчика.
CVE-2024-49683Уязвимость, связанная с отсутствием авторизации, в Schema & Structured Data for WP & AMP позволяет получить доступ к функциональности, не ограниченной должным образом списками ACL. Эта проблема затрагивает Schema & Structured Data for WP & AMP: от n/a до 1.3.5.
CVE-2024-1288Плагин Schema & Structured Data for WP & AMP для WordPress уязвим для несанкционированного изменения данных из-за отсутствия проверки возможностей в функции 'saswp_reviews_form_render' во всех версиях до 1.26 включительно. Это позволяет аутентифицированным злоумышленникам с доступом уровня contributor и выше изменять сохраненные плагином сайт reCaptcha и секретные ключи, потенциально нарушая функциональность reCaptcha.