Ultimate Exporter
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02134
Распределение по критичности
Критический
3
Высокий
2
Средний
2
Низкий
0
Затронутые диапазоны версий
< 1.4.2< 2.10< 2.14< 2.20< 2.9.1< 2.9.2≤ 1.1
Также сопоставлено как (исходные строки): ultimate_exporter
Топ уязвимостей
CVE-2025-2332Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим для PHP Object Injection во всех версиях до и включая 2.13 через десериализацию ненадежного ввода в функции 'returnMetaValueAsCustomerInput'. Это позволяет неаутентифицированным атакующим внедрять PHP-объекты. В уязвимом программном обеспечении отсутствует известная цепочка POP, что означает, что эта уязвимость не имеет воздействия, если на сайте не установлены другие плагины или темы, содержащие цепочку POP. Если цепочка POP присутствует через установленный на целевой системе дополнительный плагин или тему, это может позволить атакующему выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода в зависимости от присутствующей цепочки POP.
CVE-2016-11000Плагин wp-ultimate-exporter до версии 1.1 для WordPress имеет SQL-инъекцию через параметр export_type_name.
CVE-2024-56278Неправильный контроль генерации кода (Code Injection) в Smackcoders WP Ultimate Exporter позволяет осуществлять удаленное включение PHP-файлов. Эта проблема затрагивает WP Ultimate Exporter: от n/a до 2.9.1.
CVE-2018-20968Плагин wp-ultimate-exporter версий до 1.4.2 для WordPress имеет CSRF.
CVE-2024-12315Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим к утечке конфиденциальной информации во всех версиях до и включая 2.9.3 через директорию exports. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные, хранящиеся небезопасно в директории /wp-content/uploads/smack_uci_uploads/exports/, которая может содержать информацию, такую как экспортированные пользовательские данные.
CVE-2025-13606Экспорт всех постов, продуктов, заказов, возвратов и пользовательских плагинов для WordPress уязвим для подделки запросов на перекрестный сайт во всех версиях до 2,19. Это связано с отсутствующей или неправильной неисполнительной валидацией функции «parseData». Это позволяет неаутентифицированным злоумышленникам экспортировать конфиденциальную информацию, включая пользовательские данные, адреса электронной почты, хэши паролей и данные WooCommerce, на контролируемый злоумышленником путь на сервере через поддельный запрос, предоставленный ими, они могут обмануть администратора сайта в выполнении действия, такого как нажатие на ссылку.
CVE-2025-24611Неправильное ограничение имени пути к каталогу с ограниченным доступом (Path Traversal) уязвимость в Smackcoders WP Ultimate Exporter позволяет осуществить Absolute Path Traversal. Эта проблема затрагивает WP Ultimate Exporter: с версии n/a по 2.9.