nvd,anchore_overrides
Bdthemes
Уязвимости
71
Эксплуатируемые
0
Критический
3
Высокий
5
Топ уязвимостей
CVE-2025-39588Плагин Ultimate Store Kit Elementor Addons для WordPress содержит уязвимость десериализации недоверенных данных в версиях до 2.4.0 включительно. Это позволяет злоумышленникам выполнять произвольный код на сервере [1]. Уязвимость имеет высокий уровень опасности и ожидается, что она будет массово эксплуатироваться. Рекомендуется немедленно обновить плагин до версии 2.4.1 или позже.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/ultimate-store-kit/vulnerability/wordpress-ultimate-store-kit-elementor-addons-2-4-0-deserialization-of-untrusted-data-vulnerability?_s_id=cve
CVE-2024-8030Плагин Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider уязвим для внедрения PHP-объектов через десериализацию ненадежного ввода через cookie _ultimate_store_kit_wishlist в версиях до 2.0.3 включительно. Это позволяет неаутентифицированному злоумышленнику внедрить PHP-объект. В уязвимом плагине отсутствует цепочка POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику или выше удалять произвольные файлы, извлекать конфиденциальные данные или выполнять код.
CVE-2024-5335Плагин Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider уязвим для внедрения PHP-объектов через десериализацию ненадежного ввода через cookie _ultimate_store_kit_compare_products в версиях до 1.6.4 включительно. Это позволяет не прошедшему проверку подлинности злоумышленнику внедрить PHP-объект.
В уязвимом плагине отсутствует цепочка POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику или выше удалять произвольные файлы, извлекать конфиденциальные данные или выполнять код.
CVE-2024-32682Уязвимость Missing Authorization в BdThemes Prime Slider – Addons For Elementor. Эта проблема затрагивает Prime Slider – Addons For Elementor: с n/a по 3.13.2.
CVE-2024-32681Уязвимость Missing Authorization в BdThemes Prime Slider – Addons For Elementor. Эта проблема затрагивает Prime Slider – Addons For Elementor: с n/a по 3.13.2.
CVE-2024-30496Неправильная нейтрализация специальных элементов, используемых в команде SQL ('SQL Injection') в BdThemes Element Pack Elementor Addons. Эта проблема затрагивает Element Pack Elementor Addons: от n/a до 5.5.3.
CVE-2026-40745Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command ('SQL Injection') в bdthemes Element Pack Elementor Addons bdthemes-element-pack-lite, позволяет слепую инъекцию SQL.Эта проблема затрагивает Element Pack Elementor Addons: от n/a до <= 8.4.2.
CVE-2024-2966Плагин Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до 5.5.6 включительно через функцию element_pack_ajax_search. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные, включая детали закрытых паролем записей.
CVE-2026-1793Плагин Element Pack Adдоны для Elementor для WordPress уязвим для произвольных считываний файлов во всех версиях до 8.3.17 с помощью виджета SVG и отсутствия достаточной проверки файлов в функции 'render_svg'. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше считывать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
CVE-2025-58017Неправильная нейтрализация ввода во время уязвимости генерации веб-страниц («Cross-site Scripting») в bdthemes Ultimate Store Kit Elementor Addons позволяет хранить XSS.Эта проблема влияет на Ultimate Store Kit Elementor Addons: от n/a до <= 2.8.6.
CVE-2025-32184Уязвимость в bdthemes Ultimate Store Kit Elementor Addons, связанная с неправильной нейтрализацией входных данных при генерации веб-страниц ('межсайтовый скриптинг'), допускает хранение XSS. Эта проблема затрагивает Ultimate Store Kit Elementor Addons: от n/a до 2.4.0.
CVE-2024-47629Неправильная нейтрализация ввода во время генерации веб-страницы (XSS или «межсайтовый скриптинг») в BdThemes Ultimate Store Kit Elementor Addons позволяет выполнять сохраненный XSS. Эта проблема затрагивает Ultimate Store Kit Elementor Addons: от n/a до 2.0.5.
CVE-2024-4359Плагин Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) для WordPress уязвим для произвольного чтения файлов во всех версиях, включая 5.7.2, через SVG-виджет и отсутствие достаточной проверки файлов в функции render_svg. Это позволяет аутентифицированным злоумышленникам с правами доступа уровня contributor и выше читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
CVE-2024-33568Неправильное ограничение имени пути к ограниченной директории ('Походный Доступ'), десериализация недоверенных данных в BdThemes Element Pack Pro позволяет осуществлять Походный Доступ, внедрение объектов. Эта проблема затрагивает Element Pack Pro: от n/a до 7.19.3.
CVE-2024-31357Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в BdThemes Ultimate Store Kit Elementor Addons позволяет сохранять XSS. Эта проблема затрагивает Ultimate Store Kit Elementor Addons: от n/a до 1.5.2.
CVE-2026-4655Плагин Element Pack Addons для Elementor для WordPress уязвим для хранимых сценариев по всему сайту через виджет изображений SVG в версиях до 8.4.2 включительно. Это связано с недостаточной дезинфекцией ввода и выходом выхода на контент SVG, полученный из удаленных URL-адресов в функции рендер_svg(). Функция получает контент SVG с помощью wp_safe_remote_get(), а затем напрямую перекликается с ним на страницу без какой-либо дезинфекции, применяя только preg_replace() для добавления атрибутов к тегу SVG, который не удаляет обработчиков вредоносных событий. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольный JavaScript в файлы SVG, которые будут выполняться всякий раз, когда пользователь получает доступ к странице, содержащей вредоносный виджет.
CVE-2025-5292Плагин Element Pack Addons для Elementor – Best Elementor addons with Ready Templates, Blocks, Widgets and WooCommerce Builder для WordPress уязвим к межсайтовому скриптингу (XSS) через параметр 'marker_content' во всех версиях до 5.11.2 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с доступом уровня Автора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/ab8dfdd8-820c-4066-8014-2cb5b9f935a4?source=cve
- [2] https://plugins.trac.wordpress.org/changeset/3302152/
CVE-2025-1457Плагин Element Pack Addons для Elementor для WordPress уязвим к межсайтовому скриптингу (XSS) через виджеты Wrapper Link, Countdown и Gallery во всех версиях до 5.10.28 включительно из-за недостаточной проверки и экранирования входных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольный веб-скрипт в страницы, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/c6ac5484-3caa-4821-990b-cd49c2c4873d?source=cve
- [2] https://plugins.trac.wordpress.org/browser/bdthemes-element-pack-lite/trunk/assets/js/modules/ep-wrapper-link.min.js
- [3] https://plugins.trac.wordpress.org/browser/bdthemes-element-pack-lite/trunk/assets/js/modules/ep-countdown.min.js
- [4] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3272946%40bdthemes-element-pack-lite&new=3272946%40bdthemes-element-pack-lite&sfp_email=&sfph_mail=#file1097
- [5] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3272946%40bdthemes-element-pack-lite&new=3272946%40bdthemes-element-pack-lite&sfp_email=&sfph_mail=#file1095
CVE-2024-5555Плагин Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) для WordPress уязвим для Stored Cross-Site Scripting через параметр «social-link-title» во всех версиях до 5.6.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-5554Плагин Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) для WordPress уязвим для Stored Cross-Site Scripting через параметр «onclick_event» во всех версиях до 5.6.11 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2025-8100Плагин Element Pack Elementor Addons and Templates для WordPress уязвим к межсайтовому скриптингу (XSS) через параметр 'marker_content' в версиях до 8.1.5 включительно. Это связано с недостаточной очисткой входных данных и экранированием выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице [1].
В коде виджета Open Street Map была добавлена очистка содержимого всплывающих окон для предотвращения XSS-атак [2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/3f5d3585-19fe-4e85-87d0-7f4c62944146?source=cve
- [2] https://plugins.trac.wordpress.org/browser/bdthemes-element-pack-lite/trunk/assets/js/modules/ep-open-street-map.js#L57
- [3] https://plugins.trac.wordpress.org/browser/bdthemes-element-pack-lite/trunk/modules/open-street-map/widgets/open-street-map.php#L498
- [4] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3339093%40bdthemes-element-pack-lite&new=3339093%40bdthemes-element-pack-lite&sfp_email=&sfph_mail=
CVE-2025-5944Плагин Element Pack Addons для Elementor для WordPress уязвим для Сценариев Кросс-сайта через атрибут «data-caption» во всех версиях до 8,0.0 и включительно из-за недостаточной дезинфекции ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2025-46258В плагине BdThemes Element Pack Pro обнаружена уязвимость Missing Authorization, позволяющая эксплуатировать неправильно настроенные уровни контроля доступа. Проблема затрагивает версии Element Pack Pro до 8.0.0 [1].
Описание уязвимости:
Уязвимость связана с отсутствием проверки авторизации в определенной функции.
Рекомендации по исправлению:
Необходимо обновить плагин до версии 8.0.0 или выше.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/bdthemes-element-pack/vulnerability/wordpress-element-pack-pro-plugin-7-18-12-broken-access-control-vulnerability?_s_id=cve
CVE-2025-1458Плагин Element Pack Addons for Elementor – Free Templates and Widgets for Your WordPress Websites для WordPress содержит уязвимость Stored Cross-Site Scripting через различные виджеты, такие как Dual Button, Creative Button, Image Stack и другие, во всех версиях до 5.10.29 включительно. Это позволяет аутентифицированным злоумышленникам с правами Contributor и выше внедрять произвольный веб-скрипт в страницы, который будет выполнен при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/7fbd3170-a45b-4ae6-bc59-4cfb92f6c2a6?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3277466%40bdthemes-element-pack-lite&new=3277466%40bdthemes-element-pack-lite&sfp_email=&sfph_mail=
CVE-2025-13196Плагин Element Pack Addons for Elementor для WordPress уязвим для хранения поперечного сценария через параметр содержания маркера карты Open Street Map во всех версиях до 8.3.4. Это связано с недостаточной дезинфекцией ввода и выходом, попадающим в пользовательские атрибуты в функции рендеринга. Это позволяет аутентифицированным злоумышленникам с доступом к уровню участника и выше инъекционно вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.