anchore_overrides,nvd
Bold-themes
Уязвимости
47
Эксплуатируемые
0
Критический
1
Высокий
3
Топ уязвимостей
CVE-2021-24321WordPress тема Bello - Directory & Listing версий до 1.6.0 не обрабатывает параметры bt_bb_listing_field_price_range_to, bt_bb_listing_field_now_open, bt_bb_listing_field_my_lng, listing_list_view и bt_bb_listing_field_my_lat перед их использованием в SQL-запросе, что приводит к проблемам SQL Injection.
CVE-2024-50417Уязвимость Missing Authorization в BoldThemes Bold Page Builder позволяет Exploiting Incorrectly Configured Access Control Security Levels. Эта проблема затрагивает Bold Page Builder: от n/a до 5.1.3.
CVE-2021-24579AJAX-действие bt_bb_get_grid плагина Bold Page Builder WordPress версий до 3.1.6 передает пользовательский ввод в функцию unserialize() без какой-либо проверки или очистки, что может привести к внедрению PHP-объекта. Даже если плагин не содержал подходящего гаджета для полной эксплуатации проблемы, другие установленные плагины в блоге могли позволить эксплуатировать эту проблему и привести к RCE в некоторых случаях.
CVE-2019-15821Плагин bold-page-builder версий до 2.3.2 для WordPress не имеет защиты от изменения настроек и импорта данных.
CVE-2026-25451Неправильное нейтрализация ввода во время уязвимости генерации веб-страниц («Cross-site Scripting») в смелых темах Bold Page Builder bold-pagesbuilder позволяет хранить XSS.Эта проблема затрагивает Bold Page Builder: от n/a до <= 5.6.9.
CVE-2025-68513Неправильное нейтрализация входа во время генерации веб-страниц («Cross-site Scripting») в заветных темах Bold Timeline Lite bold-lite позволяет хранить XSS.Эта проблема затрагивает Bold Timeline Lite: от n/a до <= 1.2.7.
CVE-2025-66057Неправильное нейтрализация входа во время уязвимости генерации веб-страниц («Cross-site Scripting») в затверших темах Bold Page Builder жирный конструктор сайтов позволяет DOM-основать XSS.Эта проблема затрагивает Bold Page Builder: от n/a до <= 5.5.2.
CVE-2025-58194Уязвимость межсайтового скриптинга (XSS) в плагине Bold Page Builder для WordPress версии до 5.4.3 позволяет проводить атаки хранимого XSS. Злоумышленник с правами участника может внедрить вредоносный код, который будет выполнен при посещении сайта [1]. Для устранения уязвимости необходимо обновить плагин до версии 5.4.4 или более поздней.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/bold-page-builder/vulnerability/wordpress-bold-page-builder-plugin-5-4-3-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-54046Неправильное нейтрализация ввода во время генерации веб-страницы («Cross-site Scripting») в калькуляторе затрат QuanticaLabs позволяет хранить XSS.Эта проблема влияет на калькулятор затрат: от n/a до <= 7.4.
CVE-2025-54006Уязвимость неправильной нейтрализации входных данных при генерации веб-страницы ('Cross-site Scripting') в плагине boldthemes Bold Page Builder позволяет осуществить Stored XSS. Этот вопрос затрагивает Bold Page Builder: от n/a до версии 5.4.1 включительно. Обновите Bold Page Builder до версии 5.4.2 или более поздней, чтобы устранить эту уязвимость. Источники:
- [1] https://patchstack.com/database/wordpress/plugin/bold-page-builder/vulnerability/wordpress-bold-page-builder-plugin-5-4-1-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-47488Уязвимость в плагине Bold Page Builder для WordPress позволяет злоумышленнику с правами участника выполнить DOM-Based XSS-атаку. Уязвимость связана с неправильной обработкой входных данных при генерации веб-страницы. Злоумышленник может внедрить вредоносный скрипт, который будет выполнен при посещении сайта [1]. Для устранения уязвимости необходимо обновить плагин до версии 5.3.3 или выше.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/bold-page-builder/vulnerability/wordpress-bold-page-builder-5-3-2-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2024-43294Уязвимость Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') в BoldThemes Bold Timeline Lite позволяет осуществлять хранение XSS. Эта проблема затрагивает Bold Timeline Lite: от n/a до 1.2.0.
CVE-2021-24820Плагин Cost Calculator для WordPress до версии 1.6 позволяет аутентифицированным пользователям (Contributor+ в версиях < 1.5 и Admin+ в версиях <= 1.6) выполнять обход пути и локальное включение PHP-файлов на веб-серверах Windows через макет сообщения Cost Calculator.
CVE-2026-3694Плагин Bold Page Builder для WordPress уязвим для хранения кросс-сайта Scripting через атрибут «текст» шорт-кода bt_bb_button во всех версиях до 5.6.8. Это связано с недостаточной санизацией ввода и выходом на поставляемые пользователем атрибуты. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-7730Плагин Bold Page Builder для WordPress уязвим для хранения кросс-сайта с помощью параметра «процентного» во всех версиях до 5.4.5 из-за недостаточной дезинфекции ввода и выхода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-5286Плагин Bold Page Builder для WordPress уязвим к межсайтовому скриптингу через параметр «additional_settings» во всех версиях вплоть до 5.3.6 из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/9ae076e4-ad15-4069-be10-f0f4aced4132?source=cve
- [2] https://plugins.trac.wordpress.org/browser/bold-page-builder/tags/5.3.6/content_elements/bt_bb_content_slider/bt_bb_content_slider.php#L7
- [3] https://plugins.trac.wordpress.org/browser/bold-page-builder/tags/5.3.6/content_elements/bt_bb_content_slider/bt_bb_content_slider.php#L156
- [4] https://wordpress.org/plugins/bold-page-builder/#developers
CVE-2025-3715Плагин Bold Page Builder для WordPress содержит уязвимость межсайтового скриптинга (XSS), связанную с параметром data-text в версиях до 5.3.5 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты в страницы, которые будут выполнены при доступе пользователя к зараженной странице [1]. Уязвимость возникает из-за недостаточной проверки пользовательского ввода и отсутствия экранирования при выводе. В версии 5.3.6 была улучшена безопасность путем изменения способа обработки текста в элементе .days, где вместо вставки raw HTML создается текстовый узел, а текст устанавливается безопасно с помощью метода .text() [2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/a2452dd7-2bb9-4a0c-81db-6699a9b049ae?source=cve
- [2] https://plugins.trac.wordpress.org/browser/bold-page-builder/tags/5.3.5/content_elements_misc/js/content_elements.js
CVE-2025-15267Плагин Bold Page Builder для WordPress уязвим для хранения кросс-сайта Scripting через шорткод плагин bt_bb_accordion_item во всех версиях до 5.5.7 из-за недостаточной санации ввода и выхода на поставляемые пользователем атрибуты. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2025-14032Плагин Bold Timeline Lite для WordPress уязвим для хранения кросс-сайта Scripting через параметр «tittle» в шорткоде «bold_timeline_group» во всех версиях до 1,2.7 из-за недостаточной дезинфекции ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2025-13463Плагин Bold Page Builder для WordPress уязвим для Хранения межсайтовых сценариев через компонент Post Grid во всех версиях до 5.5.3 из-за недостаточной дезинфекции ввода и выхода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне авторов и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-12803Плагин Bold Page Builder для WordPress уязвим для Хранимого кросс-сайта Scripting через шорткод плагина 'bt_bb_tabs' во всех версиях до, в том числе, 5.5.1 из-за недостаточной дезинфекции ввода и выхода, утекающего по пользовательским атрибутам. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-12159Плагин Bold Page Builder для WordPress уязвим для Хранения Cross-Site Scripting через шорткод плагина bt_bb_raw_content во всех версиях до 5.4.8 из-за недостаточной санации ввода и выхода на поставляемые пользователем атрибуты. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2024-5647Несколько плагинов для WordPress уязвимы для Хранимого кросс-сайта Scripting через объединенную библиотеку Magnific Popups (версия 1.1.0) в различных версиях из-за недостаточной дезинфекции ввода и выхода, утекающего от пользовательских атрибутов. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице. ПРИМЕЧАНИЕ: Эта уязвимость была исправлена в библиотеке выше (воспитающее всплывающие окна версии 1.2.0), отключив загрузку HTML в определенных полях по умолчанию.
CVE-2021-24320WordPress тема Bello - Directory & Listing версий до 1.6.0 неправильно обрабатывает и экранирует свои параметры listing_list_view, bt_bb_listing_field_my_lat, bt_bb_listing_field_my_lng, bt_bb_listing_field_distance_value, bt_bb_listing_field_my_lat_default, bt_bb_listing_field_keyword, bt_bb_listing_field_location_autocomplete, bt_bb_listing_field_price_range_from и bt_bb_listing_field_price_range_to на странице листинга, что приводит к отраженным проблемам Cross-Site Scripting.
CVE-2025-47525Уязвимость 'Improper Neutralization of Input During Web Page Generation' (Cross-site Scripting) в Boldthemes Bold Page Builder позволяет осуществить Stored XSS. Это влияет на Bold Page Builder: с n/a до версии 5.3.0. Уязвимость позволяет злоумышленнику внедрять вредоносные скрипты на веб-сайт, которые будут выполнены при посещении сайта пользователями. Для устранения этой уязвимости необходимо обновиться до версии 5.3.1 или более поздней [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/bold-page-builder/vulnerability/wordpress-bold-page-builder-5-3-0-cross-site-scripting-xss-vulnerability?_s_id=cve