anchore_overrides,nvd
Brizy
Уязвимости
36
Эксплуатируемые
0
Критический
0
Высокий
9
Топ продуктов
Топ уязвимостей
CVE-2025-26902Уязвимость Cross-Site Request Forgery (CSRF) в Brizy Pro позволяет выполнить подделку межсайтовых запросов. Эта проблема затрагивает Brizy Pro: от n/a до версии 2.6.1. Информация из источника [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/brizy-pro/vulnerability/wordpress-brizy-pro-plugin-2-6-1-cross-site-request-forgery-csrf-vulnerability?_s_id=cve
CVE-2025-26901Уязвимость Missing Authorization в плагине Brizy Pro позволяет эксплуатировать некорректно настроенные уровни безопасности доступа. Эта уязвимость затрагивает Brizy Pro версии до 2.6.1 включительно.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/brizy-pro/vulnerability/wordpress-brizy-pro-plugin-2-6-1-broken-access-control-vulnerability?_s_id=cve
CVE-2024-3242Плагин Brizy – Page Builder для WordPress подвержен произвольной загрузке файлов из-за отсутствия проверки расширения файла в функции validateImageContent, вызываемой через storeImages во всех версиях до 2.4.43 включительно. Это позволяет аутентифицированным злоумышленникам с правами доступа участника и выше загружать произвольные файлы на сервер уязвимого сайта, что может сделать возможным удаленное выполнение кода. Версия 2.4.44 предотвращает загрузку файлов, заканчивающихся на .sh и .php. Версия 2.4.45 полностью исправляет проблему.
CVE-2024-1311Плагин Brizy – Page Builder для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файла в функции storeImages во всех версиях до 2.4.40 включительно. Это позволяет аутентифицированным злоумышленникам с правами участника или выше загружать произвольные файлы на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2024-10960Плагин Brizy – Page Builder для WordPress уязвим к загрузке произвольных файлов из-за отсутствия проверки типа файла в функции 'storeUploads' во всех версиях до и включая 2.6.4. Это позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше загружать произвольные файлы на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2021-38346Плагин Brizy Page Builder <= 2.3.11 для WordPress позволил аутентифицированным пользователям загружать исполняемые файлы в выбранное место с помощью действия AJAX brizy_create_block_screenshot. Файл будет иметь имя с использованием параметра id, которое может быть предшествовано "../" для выполнения обхода каталога, а содержимое файла заполнялось через параметр ibsf, который будет декодирован в base64 и записан в файл. Хотя плагин добавляет расширение .jpg ко всем загружаемым именам файлов, атака с двойным расширением по-прежнему была возможна, например, файл с именем shell.php будет сохранен как shell.php.jpg и будет исполняемым в ряде обычных конфигураций.
CVE-2020-36714Плагин Brizy для WordPress уязвим для обхода авторизации из-за некорректной проверки возможностей для функции is_administrator() в версиях до 1.0.125 включительно. Это позволяет аутентифицированным злоумышленникам получать доступ и взаимодействовать с доступными функциями AJAX.
CVE-2026-5324Плагин Brizy – Page Builder для WordPress уязвим для неаутентифицированного хранимого перекрестного сценариев во всех версиях до 2.8.11 Это связано с комбинацией отсутствующей проверки без проверки для неаутентифицированных форменных представлений, недостаточной обработки полей FileUpload при заполнении файла и отменой кодирования безопасности через html_entity_decode. Функция «предыдущий»(form() пропускает проверку без проверки для не зарегистрированных пользователей (api.php:198). Функция ручкиFileTypeFields() не может перезаписать пользовательские значения, когда файл не подключен. В то время как htmlentity() применяется во время хранения, httpml_entity_decode() переворачивает это на дисплее (form-entries.php:79). Шаблон form-data.php выводит значения FileUpload непосредственно в атрибутах href без esc_url(). Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты, которые выполняются, когда администратор просматривает страницу «Заводы».
CVE-2022-2219Плагин Unyson WordPress версий ранее 2.7.27 не очищает и не экранирует параметр перед выводом его обратно на страницу, что приводит к отраженному межсайтовому скриптингу.
CVE-2025-0969Плагин Brizy – Page Builder для WordPress уязвим для чувствительной информационной экспозиции во всех версиях до 2,7.16 с помощью функции get_users(). Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше извлекать конфиденциальные данные, включая адреса электронной почты и хешированные пароли администраторов.
CVE-2024-1937Плагин Brizy – Page Builder для WordPress уязвим для несанкционированного изменения данных из-за отсутствия проверки возможностей в функции 'update_item' во всех версиях до 2.4.44 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа участника и выше изменять содержимое произвольных опубликованных сообщений, что включает в себя возможность вставки вредоносного JavaScript.
CVE-2024-1165Плагин Brizy – Page Builder для WordPress уязвим для обхода каталогов во всех версиях до 2.4.39 включительно через 'id'. Это позволяет аутентифицированным злоумышленникам с правами участника и выше загружать файлы в произвольные места на сервере.
CVE-2021-38345Плагин Brizy Page Builder <= 2.3.11 для WordPress использовал некорректную проверку авторизации, что позволяло любому вошедшему пользователю получить доступ к любому конечному пункту в каталоге wp-admin для изменения содержания любого существующего поста или страницы, созданного с помощью редактора Brizy. Идентичная проблема была обнаружена другим исследователем в Brizy <= 1.0.125 и устранена в версии 1.0.126, но уязвимость была повторно введена в версии 1.0.127.
CVE-2025-22763Неправильная нейтрализация входных данных во время генерации веб-страницы (межсайтовый скриптинг) уязвимость в NotFound Brizy Pro позволяет осуществить Reflected XSS. Эта проблема затрагивает Brizy Pro: от n/a до 2.6.1.
CVE-2024-6254Плагин Brizy – Page Builder для WordPress подвержен подделке межсайтовых запросов во всех версиях до 2.5.1 включительно. Это связано с отсутствием или неправильной проверкой nonce при отправке форм. Это позволяет неаутентифицированным злоумышленникам отправлять формы, предназначенные для публичного использования, от имени другого пользователя через подделанный запрос, при условии, что они могут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку. На сайтах, где включен unfiltered_html, это может привести к тому, что администратор неосознанно добавит полезную нагрузку Stored Cross-Site Scripting.
CVE-2024-2087Плагин Brizy – Page Builder для WordPress уязвим для хранимого межсайтового скриптинга через значения имен форм во всех версиях до 2.4.43 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не аутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2025-32198Уязвимость неправильной нейтрализации входных данных во время генерации веб-страницы ('Cross-site Scripting') в теме themefusecom Brizy. Эта проблема затрагивает Brizy: с n/a до 2.6.14. Уязвимость позволяет злоумышленнику внедрить вредоносные скрипты, такие как перенаправления, рекламу и другие HTML-коды, которые будут выполнены при посещении сайта. Это описание общего типа уязвимости, конкретное воздействие варьируется в зависимости от случая. Оценка CVSS - 6.5, что указывает на низкую степень серьезности. Эта уязвимость имеет низкий приоритет и вряд ли будет использована [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/brizy/vulnerability/wordpress-brizy-plugin-2-6-14-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2024-3667Плагин Brizy – Page Builder для WordPress подвержен межсайтовому скриптингу (XSS), хранящемуся в поле 'Ссылка на' нескольких виджетов во всех версиях до 2.4.43 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставленных пользователем. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже, чем у участника, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2024-34814Уязвимость межсайтовой подделки запросов (CSRF) в ThemeFuse Unyson. Эта проблема затрагивает Unyson: от n/a до 2.7.29.
CVE-2024-1940Плагин Brizy – Page Builder для WordPress уязвим для хранимого межсайтового скриптинга (Stored Cross-Site Scripting) через содержимое сообщения во всех версиях до 2.4.41 включительно из-за недостаточной очистки входных данных, выполняемой только на стороне клиента, и недостаточного экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-1296Плагин Brizy – Page Builder для WordPress уязвим для Stored Cross-Site Scripting через загрузку блоков плагина во всех версиях до 2.4.40 включительно из-за недостаточной очистки ввода и экранирования вывода в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с правами уровня contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-1293Плагин Brizy – Page Builder для WordPress уязвим для Stored Cross-Site Scripting через встроенный медиа-пользовательский блок во всех версиях до 2.4.40 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с доступом уровня contributor или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-1291Плагин Brizy – Page Builder для WordPress уязвим для Stored Cross-Site Scripting через параметр Countdown URL во всех версиях до 2.4.40 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с доступом уровня contributor или выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-1164Плагин Brizy – Page Builder для WordPress уязвим для межсайтового скриптинга (Stored Cross-Site Scripting) через сообщение об ошибке и URL-адрес перенаправления виджета контактной формы плагина во всех версиях до 2.4.43 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в сообщениях об ошибках, предоставленных пользователем. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-1161Плагин Brizy – Page Builder для WordPress уязвим для межсайтового скриптинга (Stored Cross-Site Scripting) через пользовательские атрибуты плагина для блоков во всех версиях до 2.4.43 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.