Modern Events Calendar Lite
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.88158
Распределение по критичности
Критический
3
Высокий
4
Средний
13
Низкий
0
Затронутые диапазоны версий
< 5.16.5< 5.16.6< 5.22.2< 5.22.3< 6.1.5< 6.2.0< 6.3.0< 6.4.0< 6.5.2< 7.1.0< 7.13.0< 7.22≤ 5.1.6≤ 6.5.1≤ 6.5.6≤ 7.29.0
Также сопоставлено как (исходные строки): modern_events_calendar_lite,modern_events_calendar
Топ уязвимостей
CVE-2021-4458Плагин Modern Events Calendar Lite для WordPress содержит уязвимость SQL-инъекции в параметре 'id' AJAX-действия 'wp_ajax_mec_load_single_page' во всех версиях до 6.3.0 включительно. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в существующие запросы для извлечения конфиденциальных данных из базы данных [1].
Эта проблема возникает из-за недостаточной проверки пользовательского ввода и отсутствия надлежащей подготовки SQL-запроса.
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/703ba736-5834-40f2-9cf6-a6a70a73e4d6?source=cve
- [2] https://plugins.trac.wordpress.org/changeset/2683727/modern-events-calendar-lite/trunk/app/libraries/render.php
CVE-2021-24946WordPress плагин Modern Events Calendar Lite до версии 6.1.5 не очищает и не экранирует параметр time перед использованием его в SQL запросе в AJAX действии mec_load_single_page, доступном для неаутентифицированных пользователей, что приводит к проблеме неаутентифицированной SQL инъекции.
CVE-2024-6522Плагин Modern Events Calendar для WordPress уязвим для Server-Side Request Forgery во всех версиях до 7.12.1 включительно через AJAX-функцию 'mec_fes_form'. Это делает возможным для аутентифицированных злоумышленников с уровнем доступа «Подписчик» и выше выполнять веб-запросы к произвольным местоположениям, исходящим из веб-приложения, и может использоваться для запроса и изменения информации из внутренних служб.
CVE-2024-5441Плагин Modern Events Calendar для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файла в функции set_featured_image во всех версиях до 7.11.0 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа subscriber и выше загружать произвольные файлы на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода. Плагин позволяет администраторам (через свои настройки) расширять возможность отправки событий для неаутентифицированных пользователей, что позволило бы неаутентифицированным злоумышленникам использовать эту уязвимость.
CVE-2021-24149Непроверенный ввод в плагине Modern Events Calendar Lite WordPress, версий до 5.16.6, не обрабатывал параметр POST mec[post_id] в действии AJAX mec_fes_form при входе в систему как автор+, что приводило к проблеме с аутентифицированной SQL-инъекцией.
CVE-2021-24146Отсутствие проверок авторизации в плагине Modern Events Calendar Lite WordPress, версий до 5.16.5, неправильно ограничивало доступ к файлам экспорта, позволяя не прошедшим проверку подлинности пользователям экспортировать все данные о событиях, например, в формате CSV или XML.
CVE-2021-24145Произвольная загрузка файлов в плагине Modern Events Calendar Lite WordPress, версий до 5.16.5, неправильно проверяла импортированный файл, позволяя загружать PHP-файлы администратором, используя content-type 'text/csv' в запросе.
CVE-2021-24925WordPress плагин Modern Events Calendar Lite до версии 6.1.5 не очищает и не экранирует параметр current_month_divider своего AJAX вызова mec_list_load_more (доступного как для неаутентифицированных, так и для аутентифицированных пользователей) перед его выводом обратно в ответе, что приводит к проблеме Reflected Cross-Site Scripting.
CVE-2022-30533Уязвимость межсайтового скриптинга в Modern Events Calendar Lite в версиях до 6.3.0 позволяет удаленному аутентифицированному злоумышленнику внедрить произвольный скрипт через неуказанные векторы.
CVE-2022-0364Плагин Modern Events Calendar Lite WordPress до версии 6.4.0 не фильтрует и не экранирует некоторые параметры почасового расписания, что может позволить пользователям с ролью не ниже участника выполнять атаки с использованием хранимого межсайтового скриптинга.
CVE-2021-25046Плагин Modern Events Calendar Lite WordPress версий ранее 6.2.0 позволял любому зарегистрированному пользователю, даже подписчику, добавлять категорию, параметры которой неправильно экранируются в панели управления, что приводит к хранимому XSS.
CVE-2021-24716Плагин Modern Events Calendar Lite WordPress до версии 5.22.3 неправильно обрабатывает или экранирует значения, заданные пользователями с доступом к настройкам в wp-admin.
CVE-2021-24147Непроверенный ввод и отсутствие кодировки вывода в плагине Modern Events Calendar Lite WordPress, версий до 5.16.5, не обрабатывали поле mic_comment (Notes on time) при добавлении/редактировании события, позволяя пользователям с привилегиями автора добавлять события с полезной нагрузкой Cross-Site Scripting, которая будет запускаться во внешнем интерфейсе при просмотре события.
CVE-2020-9459Множественные уязвимости Stored Cross-site scripting (XSS) в плагине Webnus Modern Events Calendar Lite до версии 5.1.6 для WordPress позволяют удаленным аутентифицированным пользователям (с минимальными разрешениями) внедрять произвольный JavaScript, HTML или CSS через действия Ajax. Это влияет на mec_save_notifications и import_settings.
CVE-2026-32583Уязвимость от пропуска в Webnus Inc. Современный календарь событий позволяет использовать неправильно настроенные уровни безопасности управления доступом. Эта проблема затрагивает календарь современных событий: от n/a до 7.29.0.
CVE-2025-5733Плагин Knowledge Base для WordPress уязвим к межсайтовому скриптингу через шорткод 'kbalert' во всех версиях до 2.3.0 включительно. Это связано с недостаточной проверкой и экранированием вводимых пользователем данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «автор» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к внедренной странице [1].
Плагин был закрыт из-за нарушения рекомендаций. Рекомендуется обновить плагин до версии 2.3.1 или выше, чтобы устранить уязвимость.
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/e545b53e-7054-41dc-b69b-7552ef6c3240?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3306850%40knowledgebase&new=3306850%40knowledgebase&sfp_email=&sfph_mail=
CVE-2023-4021Легкий плагин Modern Events Calendar для WordPress уязвим для хранимого межсайтового скриптинга через ключ Google API и идентификатор календаря в версиях до 7.1.0, но не включая ее, из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице. Это влияет только на многосайтовые установки и установки, где unfiltered_html был отключен.
CVE-2023-1400Плагин Modern Events Calendar Lite WordPress до версии 6.5.2 не очищает и не экранирует некоторые свои настройки, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с сохранением межсайтового скриптинга, даже когда возможность unfiltered_html запрещена (например, в многосайтовой установке).
CVE-2022-27848Аутентифицированная (администратор+ пользователь) сохраненная уязвимость межсайтового скриптинга (XSS) в плагине Modern Events Calendar Lite (плагин для WordPress) <= 6.5.1.
CVE-2021-24687Плагин Modern Events Calendar Lite WordPress до версии 5.22.2 не экранирует некоторые из своих настроек перед их выводом в атрибутах, что позволяет пользователям с высокими привилегиями выполнять атаки с использованием межсайтового скриптинга даже тогда, когда возможность unfiltered_html запрещена.