Ultimate Gift Cards For Woocommerce
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.00753
Распределение по критичности
Критический
1
Высокий
1
Средний
4
Низкий
0
Затронутые диапазоны версий
< 2.1.2< 2.6.7< 3.1.5≤ 3.0.6≤ 3.2.4≤ 4.2.6
Также сопоставлено как (исходные строки): ultimate_gift_cards_for_woocommerce
Топ уязвимостей
CVE-2026-45444Неограниченная загрузка файла с уязвимостью опасного типа в подарочной картах WP Swings для WooCommerce Pro позволяет использовать вредоносные файлы.
Эта проблема затрагивает подарочная карта для WooCommerce Pro: от n/a до 4.2.6.
CVE-2024-11423Плагин Ultimate Gift Cards for WooCommerce – Create WooCommerce Gift Cards, Gift Vouchers, Redeem & Manage Digital Gift Coupons. Offer Gift Certificates, Schedule Gift Cards, and Use Advance Coupons With Personalized Templates для WordPress уязвим для несанкционированного изменения данных из-за отсутствия проверки возможностей на нескольких конечных точках REST API, таких как /wp-json/gifting/recharge-giftcard во всех версиях до 3.0.6 включительно. Это позволяет неаутентифицированным злоумышленникам пополнять баланс подарочной карты, не производя оплату, а также уменьшать баланс подарочной карты, не покупая ничего.
CVE-2026-24375Отсутствующая уязвимость авторизации в WP Swings Ultimate Gift Cards для WooCommerce woo-gift-cards-lite позволяет эксплуатировать неправильно настроенные уровни безопасности управления доступом.Эта проблема затрагивает окончательные подаровые карты для WooCommerce: от n/a до <= 3.2.4.
CVE-2024-1857Плагин Ultimate Gift Cards for WooCommerce – Create, Redeem & Manage Digital Gift Certificates with Personalized Templates для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до 2.6.6 включительно через wps_wgm_preview_email_template(). Это позволяет неаутентифицированным злоумышленникам читать защищенные паролем и черновики записей, которые могут содержать конфиденциальные данные.
CVE-2025-5103Плагин Ultimate Gift Cards for WooCommerce для WordPress уязвим к SQL-инъекции на основе логических значений via параметры 'default_price' и 'product_id' во всех версиях до 3.1.4 включительно из-за недостаточного экранирования пользовательского ввода и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Administrator и выше добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных. Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/e9e89383-a9c6-4300-970c-0b36e4d97e3d?source=cve
- [2] https://wordpress.org/plugins/woo-gift-cards-lite/#developers
- [3] https://plugins.trac.wordpress.org/browser/woo-gift-cards-lite/tags/3.1.4/admin/class-woocommerce-gift-cards-lite-admin.php#L571
- [4] https://plugins.trac.wordpress.org/changeset/3303359/
CVE-2021-4391Плагин Ultimate Gift Cards for WooCommerce для WordPress подвержен межсайтовой подделке запросов в версиях до 2.1.1 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции mwb_wgm_save_post(). Это позволяет не прошедшим проверку подлинности злоумышленникам изменять данные подарочной карты продукта через поддельный запрос, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.