V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
VeronalabsПриложениеanchore_overrides,nvd

Wp Sms

Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00671

Распределение по критичности

Критический
1
Высокий
3
Средний
10
Низкий
0

Затронутые диапазоны версий

< 5.4.13< 6.0.4.1< 6.4< 6.5.1< 6.5.2< 6.5.3< 6.6.3< 6.9.4< 7.0.2< 7.1.1≤ 6.1.4≤ 6.9.12≤ 7.2.1
Также сопоставлено как (исходные строки): wp_sms

Топ уязвимостей

CVE-2024-43331Уязвимость Missing Authorization в VeronaLabs WP SMS. Эта проблема затрагивает WP SMS: от n/a до 6.9.3.
CVE-2024-30454Уязвимость Cross-Site Request Forgery (CSRF) в VeronaLabs WP SMS. Эта проблема затрагивает WP SMS: от n/a до 6.6.2.
CVE-2026-28136Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command ('SQL Injection) в VeronaLabs WP SMS wp-sms, позволяет впрыскировать SQL. Эта проблема затрагивает WP SMS: от n/a до <= 6.9.12.
CVE-2023-27447Раскрытие конфиденциальной информации неавторизованному субъекту в VeronaLabs WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc. Эта проблема затрагивает WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc: от n/a до 6.0.4.
CVE-2026-40790Абонентка Sensitive Data Exposure в WP SMS <= версии 7.2.1.
CVE-2024-24881Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в VeronaLabs WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc позволяет осуществить Reflected XSS. Эта проблема затрагивает WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc: от n/a до 6.5.2.
CVE-2023-32742Неавторизованная отраженная уязвимость межсайтового скриптинга (XSS) в плагине VeronaLabs WP SMS версий <= 6.1.4.
CVE-2026-25343Неправильная нейтрализация ввода во время генерации веб-страниц («Cross-site Scripting») в VeronaLabs WP SMS wp-sms позволяет на основе DOM XSS.Эта проблема затрагивает WP SMS: от n/a до <= 7.1.
CVE-2025-62006Уязвимость «Missing Authorization» (незащищённый доступ) в плагине WP SMS для WordPress позволяет выполнять действия без надлежащей проверки прав доступа. Уязвимость затрагивает все версии плагина до 7.0.1 включительно. По оценке Patchstack, данная уязвимость имеет низкую тяжесть и вряд ли будет использована злоумышленниками (см. источник [1]). Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Plugin/wp-sms/vulnerability/wordpress-wp-sms-plugin-7-0-1-broken-access-control-vulnerability
CVE-2024-25920Неправильная нейтрализация входных данных во время генерации веб-страницы (межсайтовый скриптинг) в VeronaLabs WP SMS допускает Stored XSS. Эта проблема затрагивает WP SMS: от n/a до 6.3.4.
CVE-2021-24561Плагин WP SMS WordPress версий до 5.4.13 не очищает параметр "wp_group_name" перед выводом его обратно на странице "Groups", что приводит к проблеме Authenticated Stored Cross-Site Scripting.
CVE-2023-6981Плагин WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc для WordPress уязвим для SQL-инъекций через параметр 'group_id' во всех версиях до 6.5 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных. Это можно использовать для достижения отраженного межсайтового скриптинга.
CVE-2024-34811Неправильная нейтрализация ввода во время генерации веб-страницы («межсайтовый скриптинг») в VeronaLabs WP SMS позволяет осуществить сохраненный XSS. Эта проблема затрагивает WP SMS: от n/a до 6.5.1.
CVE-2023-6980Плагин WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc для WordPress уязвим для подделки межсайтовых запросов (CSRF) во всех версиях до 6.5 включительно. Это связано с отсутствием или неправильной проверкой nonce для действия 'delete' на странице wp-sms-subscribers. Это позволяет неаутентифицированным злоумышленникам удалять подписчиков через поддельный запрос, если они смогут обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →