Otter Blocks
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.00507
Распределение по критичности
Критический
0
Высокий
3
Средний
10
Низкий
1
Затронутые диапазоны версий
< 2.6.10< 2.6.12< 2.6.4< 2.6.5< 2.6.6< 2.6.9< 3.0.4< 3.0.5< 3.0.7< 3.1.1≤ 3.1.4
Также сопоставлено как (исходные строки): otter_blocks
Топ уязвимостей
CVE-2026-2892Плагин Otter Blocks для WordPress уязвим для обхода проверки покупок во всех версиях до 3.1.4. Это связано с методом 'get_customer_data', основанным на неподписанном файле cookie 'o_stripe_data', чтобы определить владение продуктом Stripe для неаутентованных пользователей. Метод «check_purchase» доверяет этим данным cookie без выполнения проверки на стороне сервера против Stripe API для одноразовых покупок в режиме «оплаты». Это позволяет неаутентичным злоумышленникам обходить условия видимости веб-сайта Stripe с покупным закрытием, подделывая файл cookie «o_stripe_data» с идентификатором целевого продукта, который публично раскрывается в HTML-источнике блока заказа.
CVE-2025-55715Включение чувствительной информации в уязвимость отправляемых данных в Themeisle Otter - Gutenberg Block otter-block позволяет извлекать встроенные чувствительные данные. Эта проблема затрагивает Otter - Gutenberg Block: от n/a до <= 3.1.0.
CVE-2024-11219WordPress плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE подвержен обходу пути во всех версиях до 3.0.6 включительно через функцию get_image. Это позволяет неаутентифицированным злоумышленникам просматривать произвольные изображения на сервере, которые могут содержать конфиденциальную информацию.
CVE-2024-10367Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим для хранения межсайтового скриптинга через загрузку файлов SVG REST API во всех версиях до 3.0.4 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами уровня автора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на SVG-файл.
CVE-2024-2729WordPress-плагин Otter Blocks до версии 2.6.6 неправильно экранирует атрибут mainHeadings своих блоков перед добавлением его в окончательный отрисованный блок, что позволяет участникам проводить атаки с использованием Stored XSS.
CVE-2024-1691Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE PRO для WordPress подвержен межсайтовому скриптингу (XSS) через форму загрузки файлов, которая позволяет загружать SVG-файлы, во всех версиях до 2.6.3 включительно, из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу. Следует отметить, что патч в версии 2.6.4 разрешает загрузку SVG-файлов, но загруженные SVG-файлы очищаются.
CVE-2024-3725Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим для сохраненного межсайтового скриптинга через виджет Post Grid плагина во всех версиях до 2.6.9 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем, таких как 'titleTag'. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице.
CVE-2024-3344Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим для хранимого межсайтового скриптинга через загрузку файлов SVG во всех версиях до 2.6.8 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами доступа автора или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице.
CVE-2024-3343Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим для хранимого межсайтового скриптинга через атрибуты блоков плагина во всех версиях до 2.6.8 включительно из-за недостаточной очистки ввода и экранирования вывода в предоставленных пользователем атрибутах. Это позволяет аутентифицированным злоумышленникам с правами доступа участника или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице.
CVE-2024-2841Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим для хранения межсайтового скриптинга через виджеты плагина во всех версиях до 2.6.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем, таких как 'id'. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже contributor внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-2226Плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE для WordPress уязвим к сохраненному межсайтовому скриптингу через параметр id в блоке google-map во всех версиях до 2.6.4 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-1684WordPress плагин Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE подвержен хранимому межсайтовому скриптингу через метабокс CSS поля файла контактной формы во всех версиях до 2.6.3 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-35682Уязвимость Exposure of Sensitive Information to an Unauthorized Actor в Themeisle Otter Blocks PRO. Эта проблема затрагивает Otter Blocks PRO: от n/a до 2.6.11.
CVE-2024-51671Уязвимость Missing Authorization в ThemeIsle Otter - Gutenberg Block позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Otter - Gutenberg Block: от n/a до 3.0.3.