nvd,anchore_overrides
Code-atlantic
Уязвимости
20
Эксплуатируемые
0
Критический
2
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2024-47358Уязвимость, связанная с отсутствием авторизации, в Popup Maker позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Popup Maker: от n/a до 1.19.2.
CVE-2019-17574Проблема обнаружена в плагине Popup Maker до версии 1.8.13 для WordPress. Не прошедший проверку подлинности злоумышленник может частично управлять аргументами функции do_action для вызова определенных методов popmake_ или pum_, что демонстрируется управлением содержимым и доставкой popmake-system-info.txt (он же "текстовый файл отладки поддержки").
CVE-2022-47597Раскрытие конфиденциальной информации неавторизованному субъекту в Popup Maker Popup Maker – Popup для opt-ins, lead gen, & more. Эта проблема затрагивает Popup Maker – Popup для opt-ins, lead gen, & more: от n/a до 1.17.1.
CVE-2025-47501Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в Code Atlantic Content Control позволяет выполнить DOM-Based XSS. Это влияет на Content Control: с версии n/a до версии 2.6.1 [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/content-control/vulnerability/wordpress-content-control-2-6-1-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-9490Плагин Popup Maker для WordPress уязвим к хранимому межсайтовому скриптингу (XSS) через параметр 'title' во всех версиях до 1.20.6 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к внедренной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/84861460-5257-466e-b2c1-4b8abcf86bd1?source=cve
CVE-2025-4205Плагин Popup Maker для WordPress уязвим к межсайтовому скриптингу (XSS) через параметр 'popupID' во всех версиях до 1.20.4 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше внедрять произвольный веб-скрипт на страницы, который будет выполнен при доступе пользователя к внедренной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/58fe6f67-1139-4d3e-864d-3966cede5077?source=cve
- [2] https://plugins.trac.wordpress.org/browser/popup-maker/tags/1.20.4/assets/js/site.js#L869
- [3] https://wordpress.org/plugins/popup-maker/#developers
- [4] https://plugins.trac.wordpress.org/changeset/3303770/
CVE-2017-2284Уязвимость межсайтового скриптинга в Popup Maker до версии 1.6.5 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2025-24746Недостаточная нейтрализация ввода при генерации веб-страницы ('Межсайтовый скриптинг') уязвимость в Popup Maker Popup Maker позволяет осуществлять сохраненный XSS. Эта проблема затрагивает Popup Maker: от n/a до 1.20.2.
CVE-2024-7054Плагин Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder для WordPress уязвим для Stored Cross-Site Scripting через параметр ‘close_text’ во всех версиях до 1.19.0 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2024-2336Плагин Popup Maker - Popup для opt-ins, lead gen, & more для WordPress уязвим для сохраненного межсайтового скриптинга через шорткод(ы) плагина во всех версиях до 1.18.2 включительно из-за недостаточной очистки входных данных и экранирования вывода в атрибутах, предоставленных пользователем. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2024-10583Плагин Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder для WordPress уязвим для межсайтового скриптинга (XSS), хранящегося через параметр 'post_title' во всех версиях до 1.20.2 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Участник» и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2022-4509Плагин Content Control WordPress до версии 1.1.10 не проверяет и не экранирует некоторые свои атрибуты шорткода перед выводом их обратно на страницу, что может позволить пользователям с ролью не ниже участника выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting), которые могут быть использованы против пользователей с высокими привилегиями, таких как администраторы.
CVE-2022-4381Плагин Popup Maker WordPress до версии 1.16.9 не проверяет и не экранирует один из своих атрибутов шорткода, что может позволить пользователям с ролью не ниже участника выполнять атаки с использованием сохраненного межсайтового скриптинга.
CVE-2022-4362WordPress плагин Popup Maker до версии 1.16.9 не проверяет и не экранирует один из своих атрибутов шорткода, что может позволить пользователям с ролью не ниже участника выполнять атаки с использованием сохраненного межсайтового скриптинга.
CVE-2024-11153Плагин Content Control – The Ultimate Content Restriction для WordPress уязвим к утечке конфиденциальной информации во всех версиях до и включая 2.5.0 через основную функцию поиска WordPress. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные из записей, которые были ограничены для более высоких ролей, таких как зарегистрированные пользователи.
CVE-2024-0615Плагин Content Control – The Ultimate Content Restriction Plugin! Restrict Content, Create Conditional Blocks & More для WordPress подвержен раскрытию конфиденциальной информации во всех версиях до 2.1.0 включительно через API. Это позволяет неаутентифицированным злоумышленникам извлекать заголовки, идентификаторы, слаги, статусы и другую информацию о постах, включая контент постов. Это относится только к опубликованному контенту.
CVE-2024-5561Плагин Popup Maker для WordPress до версии 1.19.1 не очищает и не экранирует некоторые свои настройки, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting), даже если возможность unfiltered_html запрещена (например, в многосайтовой установке).
CVE-2022-3690Плагин Popup Maker WordPress до версии 1.16.11 не очищает и не экранирует некоторые из своих параметров Popup, что может позволить пользователям с ролью не ниже Contributor выполнять Stored Cross-Site Scripting атаки, которые могут быть использованы против администраторов.
CVE-2022-1104Плагин Popup Maker WordPress версии до 1.16.5 не очищает и не экранирует некоторые из своих настроек Popup, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять сохраненные межсайтовые скриптовые атаки, даже если возможность unfiltered_html запрещена.
CVE-2022-45819Отсутствует уязвимость авторизации в Popup Maker Popup Maker, позволяющая использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Popup Maker: от n/a до 1.17.1.