Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

anchore_overrides,nvd

Essentialplugin

Уязвимости

15

Эксплуатируемые

0

Критический

1

Высокий

2

Топ продуктов

Album And Image Gallery Plus Lightbox5 Popup Anything4 Wp Blog And Widget3 Hero Banner Ultimate2 Audio Player With Playlist Ultimate1 Download Post Category Image With Grid And Slider1 Product Slider And Carousel With Category With Woocommerce1

Топ уязвимостей

CVE-2026-6443Все плагины от Essentialplugin для WordPress уязвимы для инъекционного бэкдора в различных версиях. Это связано с тем, что плагин был продан злонамеренному игроку, который встроил бэкдор во все приобретенные ими плагины. Это позволяет злоумышленнику поддерживать постоянный бэкдор и вводить спам в пострадавшие участки.

CVE-2022-38077Уязвимость межсайтовой подделки запросов (CSRF) в WP OnlineSupport, Essential Plugin Popup Anything – плагин для маркетинговых всплывающих окон и преобразования лидов <= 2.2.1 версий.

CVE-2024-4194Плагин The Album and Image Gallery plus Lightbox для WordPress уязвим для произвольного выполнения шорткодов во всех версиях до 2.0 включительно. Это связано с тем, что программное обеспечение позволяет пользователям выполнять действие, которое не проверяет должным образом значение перед запуском do_shortcode. Это позволяет не прошедшим проверку подлинности злоумышленникам выполнять произвольные шорткоды.

CVE-2025-22305Неправильный контроль имени файла для оператора Include/Require в программе PHP («Удаленное включение файлов PHP») в WP OnlineSupport, Essential Plugin Hero Banner Ultimate позволяет выполнить локальное включение файлов PHP. Эта проблема затрагивает Hero Banner Ultimate: от n/a до 1.4.2.

CVE-2025-13612Плагин Album and Image Gallery плюс Lightbox для WordPress уязвим для Хранимого межсайтового сценария через шорткод плагина «aigpl-gallery-album`» во всех версиях до 2,7 и включая недостаточную санацию ввода и выходного действия на поставляемых пользователем атрибутах. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.

CVE-2022-2115Плагин Popup Anything WordPress до версии 2.1.7 не очищает и не экранирует параметр перед выводом его обратно на интерфейсную страницу, что приводит к отраженному межсайтовому скриптингу.

CVE-2026-0727Плагин Accordion и Accordion Slider для WordPress уязвим для авторизованного обхода во всех версиях до 1,4.5. Это связано с тем, что плагин не проверяет должным образом, что пользователь имеет право выполнять действие в функциях 'wp_aas_save_attachment_data' и 'wp_aas_get_attachment_edit_form'. Это позволяет аутентифицированным злоумышленникам с доступом на уровень участника и выше читать и изменять метаданные вложения, включая пути файлов, заголовки, подписи, альтернативный текст и пользовательские ссылки для любого вложения на сайте.

CVE-2023-38516Авторизованная (контрибьютор+) сохраненная уязвимость межсайтового скриптинга (XSS) в плагине WP OnlineSupport, Essential Plugin Audio Player with Playlist Ultimate версий <= 1.2.2.

CVE-2022-4824Плагин WP Blog and Widgets WordPress до версии 2.3.1 не проверяет и не экранирует некоторые атрибуты своих шорткодов перед их выводом обратно на страницу, что может позволить пользователям с ролью не ниже участника выполнять атаки с сохранением межсайтового скриптинга, которые можно использовать против пользователей с высокими привилегиями, таких как администраторы.

CVE-2022-4791Плагин Product Slider and Carousel with Category for WooCommerce WordPress до версии 2.8 не проверяет и не экранирует один из своих атрибутов шорткода, что может позволить пользователям с ролью не ниже участника выполнить атаку с сохраненным межсайтовым скриптингом.

CVE-2022-4747Плагин Post Category Image With Grid and Slider WordPress до версии 1.4.8 не проверяет и не экранирует некоторые атрибуты своих шорткодов перед выводом их обратно на страницу, что может позволить пользователям с ролью не ниже участника выполнять сохраненные межсайтовые скриптовые атаки, которые могут быть использованы против пользователей с высокими привилегиями, таких как администраторы.

CVE-2022-45818Auth. (участник+) Сохраненная уязвимость межсайтового скриптинга (XSS) в плагине WP OnlineSupport, Essential Plugin Hero Banner Ultimate <= 1.3.4 версии.

CVE-2021-24883Плагин Popup Anything WordPress версий до 2.0.4 не экранирует поля Link Text и Button Text всплывающего окна, что может позволить пользователям с ролью не ниже участника выполнять атаки межсайтового скриптинга.

CVE-2024-32601Уязвимость Missing Authorization в WP OnlineSupport, Essential Plugin Popup Anything. Эта проблема затрагивает Popup Anything: от n/a до 2.8.

CVE-2023-25060Отсутствие авторизации в WP OnlineSupport, Essential Plugin Album and Image Gallery plus Lightbox позволяет использовать некорректно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Album and Image Gallery plus Lightbox: от n/a до 1.6.2.

Открыть в каталоге с фильтром по вендору →