V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
RednaoПриложениеanchore_overrides,nvd

Smart Forms

Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.0116

Распределение по критичности

Критический
0
Высокий
2
Средний
8
Низкий
0

Затронутые диапазоны версий

< 2.6.71< 2.6.85< 2.6.87< 2.6.92< 2.6.94< 2.6.96< 2.6.99≤ 2.6.15≤ 2.6.99
Также сопоставлено как (исходные строки): smart_forms

Топ уязвимостей

CVE-2023-49856Уязвимость Missing Authorization в RedNao Smart Forms позволяет эксплуатировать некорректно настроенные уровни контроля доступа. Эта проблема затрагивает Smart Forms: от n/a до 2.6.84.
CVE-2019-5924Уязвимость межсайтовой подделки запросов (CSRF) в Smart Forms 2.6.15 и более ранних версиях позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов через специально созданную страницу.
CVE-2024-1307WordPress плагин Smart Forms до версии 2.6.94 не имеет надлежащей авторизации в некоторых действиях, что может позволить пользователям с ролью не ниже подписчика вызывать их и выполнять неавторизованные действия.
CVE-2022-0163WordPress плагин Smart Forms до версии 2.6.71 не имеет авторизации в своем AJAX действии rednao_smart_forms_entries_list, что позволяет любому аутентифицированному пользователю, такому как подписчик, загружать данные произвольной формы, которые могут включать конфиденциальную информацию, такую как PII, в зависимости от формы.
CVE-2023-7203Плагин Smart Forms WordPress до версии 2.6.87 не имеет авторизации в различных AJAX-действиях, что может позволить пользователям с ролью подписчика вызывать их и выполнять несанкционированные действия, такие как удаление записей. Плагину также не хватает проверок CSRF в некоторых местах, что может позволить злоумышленникам заставить вошедших в систему пользователей выполнять нежелательные действия посредством CSRF-атак, такие как удаление записей.
CVE-2024-1905Плагин Smart Forms для WordPress до версии 2.6.96 не производит очистку и экранирование некоторых своих настроек, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting) даже тогда, когда возможность unfiltered_html запрещена (например, в многосайтовой установке).
CVE-2024-1306Плагин Smart Forms WordPress до версии 2.6.94 не имеет проверок CSRF в некоторых местах, что может позволить злоумышленникам заставить вошедших в систему пользователей выполнять нежелательные действия с помощью атак CSRF, такие как редактирование записей, и мы считаем это риском средней степени.
CVE-2025-5055Плагин Smart Forms – when you need more than just a contact form для WordPress уязвим к межсайтовому скриптингу (XSS) через настройки администратора во всех версиях вплоть до 2.6.98 из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет авторизованным злоумышленникам с правами администратора внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/7f52cbb4-8fe3-4402-8ece-261d32329a42?source=cve - [2] https://wordpress.org/plugins/smart-forms/
CVE-2026-2022Плагин Smart Forms для WordPress уязвим для несанкционированного доступа к данным из-за отсутствующей проверки возможностей на действия AJAX 'rednao_smart_forms_get_campaigns во всех версиях до 2,6.99. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчиков и выше получать данные кампании пожертвования, включая идентификаторы кампании и имена.
CVE-2024-33593Отсутствие авторизации в RedNao Smart Forms. Эта проблема затрагивает Smart Forms: от n/a до 2.6.91.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →