anchore_overrides,nvd
Depicter
Уязвимости
14
Эксплуатируемые
0
Критический
1
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2024-47359Уязвимость, связанная с отсутствием авторизации, в Depicter Slider и Popup by Averta Depicter Slider позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Depicter Slider: от n/a до 3.2.2.
CVE-2024-4389Плагин Slider and Carousel slider by Depicter для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файла в функции uploadFile во всех версиях, включая 3.1.1. Это позволяет аутентифицированным злоумышленникам с правами доступа contributor или выше загружать произвольные файлы на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2023-51491Уязвимость Cross-Site Request Forgery (CSRF) в Averta Depicter Slider. Эта проблема затрагивает Depicter Slider: с n/a по 2.0.6.
CVE-2025-2011Плагин Slider & Popup Builder by Depicter для WordPress уязвим к SQL-инъекциям из-за недостаточной проверки входных данных и отсутствия достаточной подготовки существующего SQL-запроса во всех версиях до 3.6.1 включительно. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/49b36cde-39d8-4a69-8d7c-7b850b76a7cd?source=cve
- [2] https://plugins.trac.wordpress.org/browser/depicter/trunk/app/src/Database/Repository/LeadRepository.php?rev=3156664#L224
- [3] https://plugins.trac.wordpress.org/browser/depicter/trunk/app/src/Services/LeadService.php?rev=3156664#L82
- [4] https://plugins.trac.wordpress.org/browser/depicter/trunk/app/src/Controllers/Ajax/LeadsAjaxController.php?rev=3156664#L23
- [5] https://plugins.trac.wordpress.org/browser/depicter/trunk/app/src/Controllers/Ajax/LeadsAjaxController.php?rev=3156664#L49
CVE-2025-68558Отсутствие уязвимости авторизации в averta Depicter Slider позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Depicter Slider: от n/a до <= 4.0.4.
CVE-2024-4390Плагин Slider and Carousel slider by Depicter для WordPress уязвим для произвольной генерации nonce во всех версиях, включая 3.0.2. Это позволяет аутентифицированным злоумышленникам с правами доступа contributor и выше генерировать действительный nonce для любого действия/функции WordPress. Это можно использовать для вызова функциональности, защищенной только проверками nonce.
CVE-2024-4633Плагин Slider and Carousel slider by Depicter для WordPress подвержен межсайтовому скриптингу (XSS), хранящемуся через функцию ‘addExtraMimeType’ в версиях до 3.2.1 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами не ниже author внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к зараженной странице.
CVE-2024-37414Уязвимость Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') в Depicter Slider and Popup by Averta Depicter Slider позволяет осуществить Stored XSS. Эта проблема затрагивает Depicter Slider: от n/a до 3.0.2.
CVE-2025-11370Всплывающий и слайдер Builder by Depicter - Добавьте Email, собирающий всплывающее всплывающее, всплывающее поп-моепп, всплывающее купе, слайдер изображения, плагин для порции подкатной карусель для WordPress, уязвим для несанкционированной модификации данных из-за отсутствующей проверки возможностей функции «магазина» класса RulesAjxController во всех версиях до 4,0.7. Это позволяет неаутентифицированным злоумышленникам обновлять настройки всплывающего дисплея.
CVE-2024-47381Неправильная нейтрализация входных данных при генерации веб-страницы (XSS или «межсайтовый скриптинг») в Averta Depicter Slider допускает сохранение XSS. Эта проблема затрагивает Depicter Slider: от n/a до 3.2.2.
CVE-2024-43161Неправильная нейтрализация ввода при генерации веб-страницы (XSS или «межсайтовый скриптинг») в Averta Depicter Slider допускает Stored XSS. Эта проблема затрагивает Depicter Slider: от n/a до 3.1.2.
CVE-2025-8383Плагин Depicter для WordPress уязвим для Cross-Site Request Forgery в версиях, менее чем или равным 4.0.4. Это связано с отсутствием или неправильной неисполнительной валидацией в функции «изображений-документ-правила-магазина». Это позволяет злоумышленникам без аутентификации изменять правила документа с помощью поддельного запроса, предоставленного им, они могут обмануть администратора сайта в выполнении действия, такого как нажатие на ссылку.
CVE-2025-11373Всплывающий и слайдерский конструктор от Depicter - Добавьте Email, собирающий Popup, Popup, Coupon Popup, Image Slider, Carousel Slider, плагин Post Slider Carousel для WordPress, уязвим для произвольных загрузок файлов из-за отсутствующих проверок возможностей в маршруте AJAX «depicter-media-upload» во всех версиях до 4,0.4. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше загружать ограниченные файлы на сервере затронутого сайта.
CVE-2022-47176Отсутствие авторизации в Depicter Slider and Popup by Averta Depicter Slider позволяет эксплуатировать неправильно настроенные уровни контроля доступа. Эта проблема затрагивает Depicter Slider: от n/a до 1.9.0.