nvd,anchore_overrides
Brainstormforce
Уязвимости
109
Эксплуатируемые
0
Критический
3
Высокий
22
Топ продуктов
Spectra25Sureforms14Ultimate Addons For Wpbakery Page Builder12Elementor Header \& Footer Builder10Starter Templates10Elementor - Header\, Footer \& Blocks Template9Ultimate Addons For Beaver Builder9Astra6Schema4Ultimate Addons For Elementor4Astra Widgets3Cards For Beaver Builder2Custom Fonts2Premium Starter Templates2Cartflows1Convert Pro1Import \/ Export Customizer Settings1Lightweight Sidebar Manager1Pre-publish Checklist1Schema Pro1
Топ уязвимостей
CVE-2023-36684Уязвимость, связанная с отсутствием авторизации, в Brainstorm Force Convert Pro. Эта проблема затрагивает Convert Pro: с n/a по 1.7.5.
CVE-2023-23834Отсутствует авторизация в Brainstorm Force Spectra, что позволяет использовать некорректно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Spectra: с n/a по 2.3.0.
CVE-2021-24507Плагин Astra Pro Addon WordPress версий до 3.5.2 некорректно обрабатывал и экранировал некоторые POST-параметры из AJAX-действий astra_pagination_infinite и astra_shop_pagination_infinite (доступных как неаутентифицированным, так и аутентифицированным пользователям) перед использованием их в SQL-запросе, что приводило к проблемам SQL-инъекций.
CVE-2026-7465Spectra Gutenberg Blocks – конструктор сайтов для плагина Block Editor для WordPress уязвим для удаленного исполнения кода во всех версиях до 2.19.25. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше выполнять код на сервере. Эксплуатация требует двухбленной полезной нагрузки, встроенной в содержимое сообщения: первый блок регистрирует поддельный тип блока uagb/-prefixed с помощью рендер-обратного вызова злоумышленника, а второй блок того же поддельного типа запускает вызов обратного вызова через call_user_func() во время последовательного блинга в той же странице запроса.
CVE-2025-13065Плагин Starter Templates для WordPress уязвим для произвольной загрузки файлов во всех версиях до 4.4.41. Это связано с недостаточной валидацией типа файла, обнаруживающей файлы WXR, что позволяет файлам с двойным расширением обходить дезинфекцию, будучи принятым в качестве действительного файла WXR. Это позволяет аутентифицированным злоумышленникам с доступом на уровне авторов и выше загружать произвольные файлы на сервере затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2024-37517Отсутствие авторизации в Brainstorm Force Spectra позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Spectra: от n/a до 2.13.7.
CVE-2024-37455Уязвимость неправильного управления привилегиями в дополнительных модулях Brainstorm Force Ultimate для Elementor позволяет эскалацию привилегий. Эта проблема затрагивает Ultimate Addons для Elementor: от n/a до 1.36.31.
CVE-2023-51402Уязвимость Cross-Site Request Forgery (CSRF) в Brain Storm Force Ultimate Addons for WPBakery Page Builder. Эта проблема затрагивает Ultimate Addons for WPBakery Page Builder: от n/a до 3.19.17.
CVE-2023-51398Уязвимость неправильного управления привилегиями в Brainstorm Force Ultimate Addons for Beaver Builder позволяет повысить привилегии. Эта проблема затрагивает Ultimate Addons for Beaver Builder: от n/a до 1.35.14.
CVE-2023-50890Уязвимость неправильного управления привилегиями в Brainstorm Force Ultimate Addons for Elementor позволяет повысить привилегии. Эта проблема затрагивает Ultimate Addons for Elementor: версии от n/a до 1.36.20.
CVE-2023-49830Уязвимость Improper Control of Generation of Code ('Code Injection') в Brainstorm Force Astra Pro. Эта проблема затрагивает Astra Pro: от n/a до 4.3.1.
CVE-2023-44151Уязвимость отсутствия авторизации в Brainstorm Force Pre-Publish Checklist. Эта проблема затрагивает Pre-Publish Checklist: от n/a до 1.1.1.
CVE-2023-44148Уязвимость отсутствия авторизации в Brainstorm Force Astra Bulk Edit. Эта проблема затрагивает Astra Bulk Edit: от n/a до 1.2.7.
CVE-2023-36685Уязвимость Cross-Site Request Forgery (CSRF) в Brainstorm Force US LLC CartFlows Pro допускает Cross Site Request Forgery. Эта проблема затрагивает CartFlows Pro: с n/a по 1.11.12.
CVE-2023-36682Уязвимость Cross-Site Request Forgery (CSRF) в Brainstorm Force US LLC Schema Pro допускает Cross Site Request Forgery. Эта проблема затрагивает Schema Pro: с n/a по 2.7.7.
CVE-2023-36676Уязвимость, связанная с отсутствием авторизации, в Brainstorm Force Spectra. Эта проблема затрагивает Spectra: с n/a по 2.6.6.
CVE-2023-25058Cross-Site Request Forgery (CSRF) уязвимость в плагине Brainstorm Force Schema – All In One Schema Rich Snippets <= 1.6.5 версий.
CVE-2023-23825Отсутствует авторизация в Brainstorm Force Spectra, что позволяет использовать некорректно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Spectra: с n/a по 2.3.0.
CVE-2022-46851Уязвимость Cross-Site Request Forgery (CSRF) в плагине Brainstorm Force Starter Templates <= 3.1.20 версий.
CVE-2025-6691Плагин SureForms – Drag and Drop Form Builder для WordPress уязвим к удалению произвольных файлов из-за недостаточной проверки пути к файлам в функции delete_entry_files() во всех версиях вплоть до 1.7.3 включительно. Это позволяет неаутентифицированным злоумышленникам удалять произвольные файлы на сервере, что может привести к выполнению произвольного кода, например, при удалении файла wp-config.php [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/b4658546-bf57-414b-a3c9-bf7a5692c5fe?source=cve
- [2] https://wordpress.org/plugins/sureforms/
- [3] https://plugins.trac.wordpress.org/browser/sureforms/trunk/admin/views/entries-list-table.php#L661
- [4] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3319753%40sureforms&new=3319753%40sureforms&sfp_email=&sfph_mail=
CVE-2026-4987SureForms – Contact Form, Платежная форма и другой плагин конструкторов пользовательских форм для WordPress уязвим для обхода оплаты во всех версиях до 2,5.2. Это связано с функцией create_payment_intent(), выполняющей проверку платежа исключительно на основе значения параметра, контролируемого пользователем. Это позволяет неаутентифицированным злоумышленникам обходить сконфигурированную форму проверки суммы оплаты и создавать недооцененные намерения оплаты/подписки путем установки form_id до 0.
CVE-2025-6742Плагин SureForms – Drag and Drop Form Builder для WordPress уязвим к инъекции PHP-объектов во всех версиях вплоть до 1.7.3 включительно через использование file_exists() в функции delete_entry_files() без ограничений на передаваемый путь. Это позволяет неаутентифицированным злоумышленникам внедрить PHP-объект. Однако в уязвимом ПО отсутствует известная цепочка POP, что означает, что эта уязвимость не имеет воздействия, если только другой плагин или тема, содержащие цепочку POP, не установлены на сайте. Если цепочка POP присутствует через дополнительный плагин или тему, установленную на целевой системе, это может позволить злоумышленнику выполнить действия, такие как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода, в зависимости от присутствующей цепочки POP. [1]
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/1de12d1c-5ac4-4f80-b833-a689a6916ee0?source=cve
- [2] https://wordpress.org/plugins/sureforms/
- [3] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3319753%40sureforms&new=3319753%40sureforms&sfp_email=&sfph_mail=
CVE-2025-14855Плагин SureForms для WordPress уязвим для хранения Cross-Site Scripting через параметры поля формы во всех версиях до 2,2.0 из-за недостаточной санации ввода и выхода. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2023-46205Уязвимость Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') в Brainstorm Force Ultimate Addons for WPBakery Page Builder позволяет PHP Local File Inclusion. Эта проблема затрагивает Ultimate Addons for WPBakery Page Builder: от n/a до 3.19.14.
CVE-2023-34370Уязвимость Server-Side Request Forgery (SSRF) в Brainstorm Force Starter Templates — Elementor, WordPress & Beaver Builder Templates, Brainstorm Force Premium Starter Templates. Эта проблема затрагивает Starter Templates — Elementor, WordPress & Beaver Builder Templates: от n/a до 3.2.4; Premium Starter Templates: от n/a до 3.2.4.