nvd,anchore_overrides
Icegram
Уязвимости
62
Эксплуатируемые
0
Критический
9
Высокий
10
Топ продуктов
Топ уязвимостей
CVE-2024-6172Плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce для WordPress уязвим для SQL-инъекций, основанных на времени, через параметр db во всех версиях до 5.7.25 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-5756Плагин Email Subscribers от Icegram Express – Email Marketing, Newsletters, Automation для WordPress & WooCommerce для WordPress уязвим для SQL-инъекции на основе времени через параметр db во всех версиях до 5.7.23 включительно из-за недостаточного экранирования предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4295Плагин Email Subscribers by Icegram Express для WordPress уязвим для SQL-инъекций через параметр «hash» во всех версиях до 5.7.20 включительно из-за недостаточной экранировки предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет не прошедшим проверку подлинности злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-31352Уязвимость отсутствия авторизации в Email Subscribers & Newsletters. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.13.
CVE-2024-2876WordPress плагин Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce уязвим для SQL-инъекций через функцию 'run' класса 'IG_ES_Subscribers_Query' во всех версиях до 5.7.14 включительно из-за недостаточного экранирования предоставленного пользователем параметра и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2022-45810Уязвимость неправильной нейтрализации элементов формул в CSV-файле в Icegram Icegram Express – Email Marketing, Newsletters and Automation для WordPress & WooCommerce. Эта проблема затрагивает Icegram Express – Email Marketing, Newsletters and Automation для WordPress & WooCommerce: от n/a до 5.5.2.
CVE-2019-20361В плагине WordPress Email Subscribers & Newsletters до версии 4.3.1 была обнаружена уязвимость, которая позволяла передавать SQL-операторы в базу данных в параметре hash (уязвимость слепой SQL-инъекции).
CVE-2019-13569Уязвимость SQL-инъекции существует в плагине Icegram Email Subscribers & Newsletters до версии 4.1.7 для WordPress. Успешная эксплуатация этой уязвимости позволит удаленному злоумышленнику выполнять произвольные SQL-команды в затронутой системе.
CVE-2024-37252Уязвимость Improper Neutralization of Special Elements used in an SQL Command («SQL Injection») в Icegram Email Subscribers & Newsletters позволяет использовать SQL Injection. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.25.
CVE-2024-4845Плагин Icegram Express для WordPress уязвим для SQL-инъекции через параметр ‘options[list_id]’ во всех версиях до 5.7.22 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4010Плагин Email Subscribers by Icegram Express для WordPress уязвим для несанкционированного доступа к данным, изменения данных и потери данных из-за отсутствия проверки возможности в функции handle_ajax_request во всех версиях до 5.7.19 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа подписчика и выше вызывать потерю конфиденциальности, целостности и доступности, выполняя несколько несанкционированных действий. Некоторые из этих действий также могут быть использованы для проведения атак с использованием внедрения PHP-объектов и SQL-инъекций.
CVE-2023-52119Уязвимость межсайтовой подделки запросов (CSRF) в Icegram Icegram Engage – WordPress Lead Generation, Popup Builder, CTA, Optins and Email List Building. Эта проблема затрагивает Icegram Engage – WordPress Lead Generation, Popup Builder, CTA, Optins and Email List Building: от n/a до 3.1.18.
CVE-2022-3981Плагин Icegram Express WordPress до версии 5.5.1 неправильно очищает и экранирует параметр перед использованием его в SQL-запросе, что приводит к SQL-инъекции, эксплуатируемой любым аутентифицированным пользователем, например подписчиком.
CVE-2022-0439Плагин Email Subscribers & Newsletters WordPress до версии 5.3.2 некорректно экранирует параметры `order` и `orderby` для действия `ajax_fetch_report_list`, что делает его уязвимым для атак слепой SQL-инъекции со стороны пользователей с ролями вплоть до подписчика. Кроме того, для этого действия не предусмотрена защита CSRF, что позволяет злоумышленнику обманом заставить любого вошедшего в систему пользователя выполнить это действие, щелкнув ссылку.
CVE-2018-6015Обнаружена проблема в плагине "Email Subscribers & Newsletters" до версии 3.4.8 для WordPress. Отправка HTTP POST-запроса к URI с /?es=export в конце и добавление option=view_all_subscribers в тело позволяет загрузить файл данных CSV со всеми данными подписчиков.
CVE-2025-66055Дезериализация уязвимости ненадежных данных в Icegram Email Подписчики и информационные бюллетени электронной почты позволяет осуществлять впрыск Object Injection.Эта проблема затрагивает подписчиков и информационных бюллетеней по электронной почте: от n/a до <= 5.9.10.
CVE-2023-5414Плагин Icegram Express для WordPress уязвим для Directory Traversal в версиях до 5.6.23 включительно через функцию show_es_logs. Это позволяет злоумышленникам с правами администратора читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию, в том числе принадлежащую другим сайтам, например, в средах общего хостинга.
CVE-2025-47527Уязвимость отсутствия авторизации в Icegram Icegram Collect – Easy Form, Lead Collection and Subscription plugin позволяет эксплуатировать неправильно настроенные уровни безопасности доступа. Эта проблема затрагивает Icegram Collect – Easy Form, Lead Collection and Subscription plugin: от n/a до версии 1.3.18 [1].
Уязвимость Broken Access Control относится к отсутствию проверки авторизации, аутентификации или проверке nonce-токена в функции, что может привести к выполнению определенных действий с более высокими привилегиями неавторизованным пользователем. Это общее описание данного типа уязвимости, конкретное воздействие может варьироваться в зависимости от случая.
Мы рекомендуем немедленно устранить или исправить эту уязвимость. Patchstack выпустил виртуальный патч для смягчения этой проблемы путем блокировки любых атак до тех пор, пока вы не обновитесь до исправленной версии. Обновите до версии 1.3.19 или более поздней, чтобы удалить уязвимость [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/icegram-rainmaker/vulnerability/wordpress-icegram-collect-easy-form-lead-collection-and-subscription-plugin-1-3-18-broken-access-control-vulnerability?_s_id=cve
CVE-2024-22300Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в Icegram Email Subscribers & Newsletters допускает отраженный XSS. Эта проблема затрагивает Email Subscribers & Newsletters: от n/a до 5.7.11.
CVE-2026-1651Подписчики электронной почты от плагина Icegram Express для WordPress уязвимы для SQL Injection через параметр «workflow_ids» во всех версиях до 5.9.16 из-за недостаточного утечки на параметре, предоставленного пользователем, и отсутствия достаточной подготовки к существующему запросу SQL. Это позволяет аутентифицированным злоумышленникам с доступом на уровне администратора и выше вставлять дополнительные запросы SQL в уже существующие запросы, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2025-68507Уязвимость с отсутствием авторизации в Icegram Icegram icegram позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Icegram: от n/a до <= 3.1.35.
CVE-2025-24542Неправильная нейтрализация ввода во время создания веб-страницы (межсайтовый скриптинг) в icegram Icegram позволяет осуществлять сохраненную XSS. Эта проблема затрагивает Icegram: от n/a до 3.1.31.
CVE-2024-43344Уязвимость Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') в Icegram позволяет осуществить Stored XSS. Эта проблема затрагивает Icegram: от n/a до 3.1.25.
CVE-2024-12311Плагин Email Subscribers by Icegram Express для WordPress версий до 5.7.44 не выполняет очистку и экранирование параметра перед его использованием в операторе SQL, что позволяет администраторам выполнять SQL-инъекции.
CVE-2020-5767Межсайтовая подделка запросов в плагине Icegram Email Subscribers & Newsletters для WordPress v4.4.8 позволяет удаленному злоумышленнику отправлять поддельные электронные письма, обманом заставляя законных пользователей нажимать на специально созданную ссылку.