Password Protected
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
5.3
Макс. EPSS
0.00393
Распределение по критичности
Критический
0
Высокий
0
Средний
4
Низкий
1
Затронутые диапазоны версий
< 2.6.7≤ 2.6.2≤ 2.7.11≤ 2.7.7
Также сопоставлено как (исходные строки): password_protected
Топ уязвимостей
CVE-2025-3453Плагин Password Protected для WordPress уязвим к раскрытию конфиденциальной информации во всех версиях вплоть до 2.7.7 включительно через функцию 'password_protected_cookie'. Это позволяет неаутентифицированным злоумышленникам извлечь конфиденциальные данные, включая все защищенное содержимое сайта, если включена настройка 'Use Transient'.
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/241d75ca-55e3-461a-9844-52e69904da1b?source=cve
- [2] https://plugins.trac.wordpress.org/browser/password-protected/trunk/includes/compatibility.php
- [3] https://plugins.trac.wordpress.org/changeset/3274358/
CVE-2024-0656Плагин Password Protected – Ultimate Plugin to Password Protect Your WordPress Content with Ease для WordPress подвержен межсайтовому скриптингу (XSS) через ключ сайта Google Captcha во всех версиях до 2.6.6 включительно из-за недостаточной очистки входных данных и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами администратора внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице. Это затрагивает только многосайтовые установки и установки, где unfiltered_html отключен.
CVE-2023-32580Аутентифицированный (администратор+) Stored Cross-Site Scripting (XSS) уязвимость в плагине WPExperts Password Protected <= 2.6.2 версий.
CVE-2024-0437Плагин Password Protected – Ultimate Plugin to Password Protect Your WordPress Content with Ease для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до версии 2.6.6 включительно через API. Это позволяет аутентифицированным злоумышленникам с правами доступа подписчика или выше извлекать заголовки и содержимое сообщений, тем самым обходя защиту паролем плагина.
CVE-2025-11244Плагин Password Protected для WordPress уязвим для обхода авторизации через спуфинг IP-адреса во всех версиях до 2,7.11. Это связано с тем, что плагин доверяет клиенту HTTP-заголовки (такие как X-Forwarded-For, HTTP_CLIENT_IP и аналогичные заголовки) для определения пользовательских IP-адресов в функции `pp_get_ip_address()` при включении функции «использовать переходные процессы». Это позволяет злоумышленникам обходить авторизацию, подделывающими эти заголовки с помощью IP-адреса законно аутентифицированного пользователя, при условии, что включена опция «Потребление переходных процессов» (конфигурация без по умолчанию), и сайт не находится за CDN или обратным прокси, который перезаписывает эти заголовки.