anchore_overrides,nvd
Easysocialfeed
Уязвимости
14
Эксплуатируемые
0
Критический
0
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2024-30180Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в Easy Social Feed позволяет осуществить Stored XSS. Эта проблема затрагивает Easy Social Feed: от n/a до 6.5.3.
CVE-2025-6067Легкая социальная лента - Галерея социальных фотографий - Как коробка плагин для WordPress уязвим для Хранимого кросс-сайта Скриптинга через параметры «data-caption`» и «data-linktext`» во всех версиях до 6.6.7 из-за недостаточной санации ввода и выхода вывода. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к вводимой странице.
CVE-2024-5020Несколько плагинов для WordPress уязвимы для Stored Cross-Site Scripting через прилагаемую библиотеку FancyBox JavaScript (версии с 1.3.4 по 3.5.7) в различных версиях из-за недостаточной очистки входных данных и экранирования выходных данных в предоставленных пользователем атрибутах. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице.
CVE-2022-4974Freemius SDK, используемый сотнями разработчиков плагинов и тем WordPress, был уязвим для межсайтовой подделки запросов и раскрытия информации из-за отсутствия проверки возможностей и защиты nonce в функциях _get_debug_log, _get_db_option и _set_db_option в версиях до 2.4.2 включительно. Любой плагин или тема WordPress, использующие версию Freemius ниже 2.4.3, уязвимы.
CVE-2024-13362Несколько плагинов и/или тем для WordPress уязвимы для отражаемых сценариев по кросс-сайту по параметру url в различных версиях из-за недостаточной санации ввода и выхода. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на страницы, которые выполняются, если они могут успешно обмануть пользователя в выполнении действия, такого как нажатие на ссылку.
CVE-2021-25120Бесплатные и Pro версии плагинов Easy Social Feed WordPress версий до 6.2.7 не очищают некоторые свои параметры, используемые через AJAX-действия, перед выводом их обратно в ответе, что приводит к проблемам с отраженным межсайтовым скриптингом.
CVE-2024-1278Плагин Easy Social Feed – Social Photos Gallery – Post Feed – Like Box для WordPress уязвим для Stored Cross-Site Scripting через шорткод плагина 'efb_likebox' во всех версиях до 6.5.4 включительно из-за недостаточной очистки ввода и экранирования вывода в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с правами уровня contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2022-4474Плагин WordPress Easy Social Feed до версии 6.4.0 не проверяет и не экранирует некоторые свои атрибуты шорткода перед их выводом обратно на странице, что может позволить пользователям с ролью не ниже, чем участник, выполнять Stored Cross-Site Scripting атаки, которые могут быть использованы против пользователей с высокими привилегиями, такими как администратор.
CVE-2024-1219Плагин Easy Social Feed WordPress до версии 6.5.6 не проверяет и не экранирует некоторые свои атрибуты шорткода перед их выводом обратно на страницу, что может позволить пользователям с ролью не ниже участника выполнять атаки с использованием сохраненного межсайтового скриптинга, которые могут быть использованы против пользователей с высокими привилегиями, таких как администратор
CVE-2024-30526Уязвимость межсайтовой подделки запросов (CSRF) в Easy Social Feed. Эта проблема затрагивает Easy Social Feed: от n/a до 6.5.6.
CVE-2024-1214Плагин Easy Social Feed – Social Photos Gallery – Post Feed – Like Box для WordPress уязвим для подделки межсайтовых запросов во всех версиях до 6.5.4 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции save_groups_list. Это позволяет неаутентифицированным злоумышленникам отключать подключение страницы/группы Facebook или Instagram сайта с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2024-1213Плагин Easy Social Feed – Social Photos Gallery – Post Feed – Like Box для WordPress уязвим для подделки межсайтовых запросов во всех версиях до 6.5.4 включительно. Это связано с отсутствием или неправильной проверкой nonce в функциях esf_insta_save_access_token и efbl_save_facebook_access_token. Это позволяет неаутентифицированным злоумышленникам подключать свои страницы в Facebook и Instagram к сайту с помощью поддельного запроса, если им удастся обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.
CVE-2023-6883Плагин Easy Social Feed для WordPress уязвим для несанкционированного изменения данных из-за отсутствия проверки возможностей для нескольких AJAX-функций во всех версиях до 6.5.2 включительно. Это позволяет аутентифицированным злоумышленникам с правами доступа подписчика и выше выполнять несанкционированные действия, такие как изменение токенов доступа плагина к Facebook и Instagram и обновление идентификаторов групп.
CVE-2023-48740Уязвимость, связанная с отсутствием авторизации, в Easy Social Feed Easy Social Feed позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Easy Social Feed: от n/a до 6.5.1.