Branda
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00541
Распределение по критичности
Критический
1
Высокий
0
Средний
5
Низкий
0
Затронутые диапазоны версий
< 3.4.15< 3.4.18< 3.4.19≤ 3.4.18≤ 3.4.21≤ 3.4.24
Также сопоставлено как (исходные строки): branda
Топ уязвимостей
CVE-2025-14998Плагин Branda для WordPress уязвим для эскалации привилегий через поглощение учетной записи во всех версиях до 3.4.24. Это связано с плагином, не проверяющим должным образом личность пользователя до обновления пароля. Это позволяет неаутентифицированным злоумышленникам изменять пароли произвольного пользователя, включая администраторов, и использовать это для получения доступа к своей учетной записи.
CVE-2024-9371Плагин Branda – White Label & Branding, Custom Login Page Customizer для WordPress уязвим к отраженному межсайтовому скриптингу из-за использования remove_query_arg без надлежащего экранирования URL-адреса во всех версиях до 3.4.19 включительно. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2024-5191Плагин Branda – White Label WordPress, Custom Login Page Customizer для WordPress уязвим для Stored Cross-Site Scripting через параметр ‘mime_types’ во всех версиях до 3.4.17 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Author и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице.
CVE-2024-6554Плагин Branda – White Label WordPress, Custom Login Page Customizer для WordPress уязвим для раскрытия полного пути во всех версиях до 3.4.18 включительно. Это связано с тем, что плагин использует composer, не предотвращая прямой доступ к файлам. Это позволяет неавторизованным злоумышленникам получить полный путь к веб-приложению, который можно использовать для помощи в других атаках. Отображаемая информация сама по себе бесполезна и требует наличия другой уязвимости для нанесения ущерба затронутому веб-сайту.
CVE-2023-51542Обход аутентификации путем подмены в WPMU DEV Branda позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Branda: от n/a до 3.4.14.
CVE-2024-37239Уязвимость Improper Neutralization of Input During Web Page Generation (XSS или «межсайтовый скриптинг») в WPMU DEV Branda позволяет использовать Stored XSS. Эта проблема затрагивает Branda: от n/a до 3.4.17.