Userpro
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.27369
Распределение по критичности
Критический
3
Высокий
9
Средний
11
Низкий
0
Затронутые диапазоны версий
< 4.9.17.1< 5.1.11< 5.1.2< 5.1.6< 5.1.9≤ 4.9.23≤ 5.1.0≤ 5.1.1≤ 5.1.10≤ 5.1.4≤ 5.1.6≤ 5.1.9
Также сопоставлено как (исходные строки): userpro
Топ уязвимостей
CVE-2024-35700Уязвимость Improper Privilege Management в DeluxeThemes Userpro позволяет осуществить Privilege Escalation. Эта проблема затрагивает Userpro: от n/a до 5.1.8.
CVE-2023-2449Плагин UserPro для WordPress уязвим к несанкционированным сбросам паролей в версиях до и включая 5.1.1. Это связано с тем, что плагин использует встроенную функциональность сброса пароля с недостаточной проверкой на функции сброса пароля (userpro_process_form). Функция использует необработанное значение ключа сброса пароля вместо его хэшированного значения, что означает, что его легко получить и затем использовать. Злоумышленник может использовать CVE-2023-2448 и CVE-2023-2446, или другую уязвимость, такую как SQL-инъекция в другом плагине или теме, установленной на сайте, чтобы успешно эксплуатировать эту уязвимость.
CVE-2017-16562Плагин UserPro до версии 4.9.17.1 для WordPress, при использовании на сайте с именем пользователя "admin", позволяет удаленным злоумышленникам обходить аутентификацию и получать административный доступ через значение "true" для параметра up_auto_log в QUERY_STRING к URI по умолчанию.
CVE-2024-56211Уязвимость Missing Authorization в DeluxeThemes Userpro. Эта проблема затрагивает Userpro: от n/a до 5.1.9.
CVE-2023-6009Плагин UserPro для WordPress уязвим к эскалации привилегий в версиях до и включая 5.1.4 из-за недостаточных ограничений на функцию 'userpro_update_user_profile'. Это позволяет аутентифицированным злоумышленникам с минимальными правами, такими как подписчик, изменить свою роль пользователя, указав параметр 'wp_capabilities' во время обновления профиля.
CVE-2023-2497Плагин UserPro для WordPress уязвим для межсайтовой подделки запросов в версиях до 5.1.0 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции 'import_settings'. Это позволяет злоумышленникам, не прошедшим проверку подлинности, использовать внедрение PHP-объектов из-за использования unserialize() для предоставленного пользователем параметра через подделанный запрос, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-2440Плагин UserPro для WordPress подвержен подделке межсайтовых запросов (CSRF) в версиях до 5.1.1 включительно. Это связано с отсутствием проверки nonce в функциях 'admin_page', 'userpro_verify_user' и 'verifyUnverifyAllUsers'. Это позволяет неаутентифицированным злоумышленникам изменять роль проверенных пользователей, чтобы повысить привилегии проверенного пользователя до уровня любого пользователя, такого как 'administrator', посредством поддельного запроса, если они могут обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2024-56212Уязвимость Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') в DeluxeThemes Userpro. Эта проблема затрагивает Userpro: от n/a до 5.1.9.
CVE-2024-56214Path Traversal: '.../...//' vulnerability in DeluxeThemes Userpro allows Path Traversal.This issue affects Userpro: from n/a through 5.1.9.
CVE-2023-2437Плагин UserPro для WordPress уязвим к обходу аутентификации в версиях до и включая 5.1.1. Это связано с недостаточной проверкой пользователя, предоставляемого во время входа через Facebook через плагин. Это делает возможным для неавторизованных злоумышленников войти как любой существующий пользователь на сайте, например, как администратор, если у них есть доступ к электронной почте. Злоумышленник может использовать уязвимости CVE-2023-2448 и CVE-2023-2446, чтобы получить адрес электронной почты пользователя и успешно эксплуатировать эту уязвимость.
CVE-2025-68608Уязвимость с пропуском авторизации в DeluxeThemes Userpro userpro позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Userpro: от n/a до <= 5.1.9.
CVE-2024-56210Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в DeluxeThemes Userpro позволяет отраженный XSS. Эта проблема затрагивает Userpro: от n/a до 5.1.9.
CVE-2023-6007Плагин UserPro для WordPress уязвим для несанкционированного доступа к данным, изменения данных, потери данных из-за отсутствия проверки возможностей для нескольких функций во всех версиях до 5.1.1 включительно. Это позволяет неаутентифицированным злоумышленникам добавлять, изменять или удалять метаданные пользователя и параметры плагина.
CVE-2023-2446Плагин UserPro для WordPress уязвим к раскрытию конфиденциальной информации через шорткод 'userpro' в версиях до и включая 5.1.1. Это связано с недостаточными ограничениями на конфиденциальные пользовательские метаданные, которые могут быть вызваны через этот шорткод. Это делает возможным для аутентифицированных злоумышленников с разрешениями уровня подписчика и выше извлечь конфиденциальные пользовательские метаданные, которые могут быть использованы для доступа к учетной записи пользователя с высокими привилегиями.
CVE-2023-2447Плагин UserPro для WordPress подвержен подделке межсайтовых запросов в версиях до 5.1.1 включительно. Это связано с отсутствием или неверной проверкой nonce в функции 'export_users'. Это позволяет неаутентифицированным злоумышленникам экспортировать пользователей в файл CSV, если они могут обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-2438Плагин UserPro для WordPress уязвим для подделки межсайтовых запросов в версиях до 5.1.0 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции 'userpro_save_userdata'. Это позволяет неаутентифицированным злоумышленникам обновлять пользовательские метаданные и внедрять вредоносный JavaScript через поддельный запрос, если им удастся обманом заставить администратора сайта выполнить какое-либо действие, например, нажать на ссылку.
CVE-2018-16285Плагин UserPro до версии 4.9.23 для WordPress допускает XSS через параметр shortcode в действии userpro_shortcode_template для wp-admin/admin-ajax.php.
CVE-2025-4187Плагин UserPro - Community and User Profile WordPress Plugin для WordPress уязвим к обходу директорий во всех версиях до 5.1.10 включительно через функцию userpro_fbconnect(). Это позволяет неаутентифицированным злоумышленникам читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/2745a40c-b011-4fe5-b2f7-d97ee6972568?source=cve
- [2] https://codecanyon.net/item/userpro-user-profiles-with-social-login/5958681
CVE-2023-2439Плагин UserPro для WordPress подвержен межсайтовому скриптингу (XSS), хранящемуся в шорткоде 'userpro' в версиях до 5.1.5 включительно, из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-0701Плагин UserPro для WordPress уязвим для обхода функций безопасности во всех версиях до версии 5.1.6 включительно. Это связано с использованием ограничений на стороне клиента для обеспечения соблюдения функции членства «Отключенная регистрация» в общих настройках плагина. Это позволяет неаутентифицированным злоумышленникам зарегистрировать учетную запись, даже если регистрация учетной записи была отключена администратором.
CVE-2023-2448Плагин UserPro для WordPress уязвим к несанкционированному доступу к данным из-за отсутствия проверки прав на функцию 'userpro_shortcode_template' в версиях до и включая 5.1.4. Это позволяет неавторизованным злоумышленникам выполнять произвольно шорткоды. Злоумышленник может использовать CVE-2023-2446, чтобы получить конфиденциальную информацию через шорткод.
CVE-2025-53444Уязвимость Cross-Site Request Forgery (CSRF) в DeluxeThemes Userpro userpro позволяет Cross Site Request Forgery.Эта проблема затрагивает Userpro: от n/a до < 5.1.11.
CVE-2023-6008Плагин UserPro для WordPress уязвим для межсайтовой подделки запросов в версиях до 5.1.1 включительно. Это связано с отсутствием или некорректной проверкой nonce для нескольких функций. Это позволяет неаутентифицированным злоумышленникам добавлять, изменять или удалять метаданные пользователя и параметры плагина.