Wp Activity Log
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01293
Распределение по критичности
Критический
0
Высокий
1
Средний
7
Низкий
0
Затронутые диапазоны версий
< 4.4.0< 4.6.2< 4.6.4.1< 5.2.2< 5.3.0< 5.6.0≤ 5.6.3
Также сопоставлено как (исходные строки): wp_activity_log
Топ уязвимостей
CVE-2024-2018Плагин WP Activity Log Premium для WordPress подвержен SQL-инъекции через параметр entry->roles во всех версиях до 4.6.4 включительно из-за недостаточного экранирования предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с привилегиями subscriber добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных. Одна продемонстрированная атака включала внедрение PHP-объекта.
CVE-2026-45435Неправильная нейтрализация ввода во время генерации веб-страниц («Cross-site Scripting») в Melapress WP Activity Log позволяет на основе DOM XSS.
Эта проблема затрагивает WP Activity Log: от n/a до 5.6.3.
CVE-2026-25331Неправильное нейтрализация входа во время генерации веб-страницы («Cross-site Scripting») в Melapress WP Activity Log wp-security-audit-log позволяет на основе DOM XSS.Эта проблема влияет на WP Activity Log: от n/a до <= 5.5.4.
CVE-2025-0767WP Activity Log 5.3.2 был признан уязвимым. Невалидированный ввод пользователя используется непосредственно в функции unserialize в myapp/classes/Writers/class-csv-writer.php.
CVE-2022-4974Freemius SDK, используемый сотнями разработчиков плагинов и тем WordPress, был уязвим для межсайтовой подделки запросов и раскрытия информации из-за отсутствия проверки возможностей и защиты nonce в функциях _get_debug_log, _get_db_option и _set_db_option в версиях до 2.4.2 включительно. Любой плагин или тема WordPress, использующие версию Freemius ниже 2.4.3, уязвимы.
CVE-2025-0924Плагин WP Activity Log для WordPress уязвим к Сохраненному Межсайтовому Скриптингу через параметр ‘message’ во всех версиях до и включая 5.2.2 из-за недостаточной санитарии ввода и экранирования вывода. Это позволяет неаутентифицированным attackers вводить произвольные веб-скрипты на страницах, которые будут выполняться каждый раз, когда пользователь обращается к инъецированной странице.
CVE-2024-10793Плагин WP Activity Log для WordPress уязвим к хранимому межсайтовому скриптингу через параметр user_id во всех версиях до 5.2.1 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда административный пользователь обращается к внедренной странице.
CVE-2023-50905Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в Melapress WP Activity Log позволяет осуществить Stored XSS. Эта проблема затрагивает WP Activity Log: от n/a до 4.6.1.