nvd,anchore_overrides
Really-simple-plugins
Уязвимости
14
Эксплуатируемые
0
Критический
1
Высокий
5
Топ уязвимостей
CVE-2024-10924Плагины Really Simple Security (Free, Pro и Pro Multisite) для WordPress уязвимы для обхода аутентификации в версиях с 9.0.0 по 9.1.1.1. Это связано с неправильной обработкой ошибок проверки пользователя в двусторонних действиях REST API с функцией 'check_login_and_get_user'. Это позволяет неаутентифицированным злоумышленникам входить в систему как любой существующий пользователь на сайте, например, администратор, когда включена настройка «Двухфакторная аутентификация» (отключена по умолчанию).
CVE-2023-35089Уязвимость межсайтовой подделки запросов (CSRF) в плагине Really Simple Plugins Recipe Maker For Your Food Blog from Zip Recipes <= 8.0.7 версий.
CVE-2023-34030Уязвимость Cross-Site Request Forgery (CSRF) в Really Simple Plugins Complianz, Really Simple Plugins Complianz Premium допускает Cross-Site Request Forgery. Проблема затрагивает Complianz: от n/a до 6.4.5; Complianz Premium: от n/a до 6.4.7.
CVE-2023-33333Cross-Site Request Forgery (CSRF) в Really Simple Plugins Complianz, Really Simple Plugins Complianz Premium позволяет осуществить Cross-Site Scripting (XSS). Эта проблема затрагивает Complianz: от n/a до 6.4.4; Complianz Premium: от n/a до 6.4.6.1.
CVE-2022-3494Плагин Complianz WordPress до версии 6.3.4 и плагин Complianz Premium WordPress до версии 6.3.6 позволяют переводчикам внедрять произвольный SQL через неочищенный перевод. SQL можно внедрить через зараженный файл перевода или пользователем с ролью переводчика через плагины перевода, такие как Loco Translate или WPML.
CVE-2023-52180Неправильная нейтрализация специальных элементов, используемых в SQL-команде (SQL-инъекция), в Really Simple Plugins Recipe Maker For Your Food Blog от Zip Recipes. Эта проблема затрагивает Recipe Maker For Your Food Blog от Zip Recipes: от n/a до 8.1.0.
CVE-2025-11185Плагин Complianz - GDPR/CCPA Cookie Consent для WordPress уязвим для Хранимого кросс-сайта через шорткод плагина Compplz-cept-link во всех версиях до 7.4.3 из-за недостаточной вводимой санации и выходов на атрибуты, предоставленные пользователем. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2023-31076Неавторизованная отраженная межсайтовая скриптовая (XSS) уязвимость в плагине Really Simple Plugins Recipe Maker For Your Food Blog from Zip Recipes версии <= 8.0.6.
CVE-2022-0193WordPress плагин Complianz до версии 6.0.0 не экранирует параметр s перед его выводом в атрибуте на странице администратора, что приводит к отраженному межсайтовому скриптингу.
CVE-2023-1069Плагин Complianz для WordPress до версии 6.4.2 и плагин Complianz Premium для WordPress до версии 6.4.2 не валидируют и не экранируют некоторые свои атрибуты шорткодов до их вывода обратно на страницу/пост, где встраивается шорткод, что может позволить пользователям с ролью контрибьютора и выше осуществлять атаки с хранением межсайтового сценарного ввода (Stored Cross-Site Scripting).
CVE-2026-4019Плагин Complianz – GDPR/CCPA Cookie Consent для WordPress уязвим для несанкционированного доступа к данным во всех версиях до 7.4.5 Это связано с конечной точкой REST API в /wp-json/complianz/v1/consent-area/{post_d) {post_d)rlock_id} с использованием __return_true в качестве разрешения_cllback, что позволяет любому пользователю без аутентификации получить к нему доступ. Функция cmplz_rest_constented_content() извлекает сообщение по идентификатору через get_post() и возвращает атрибут согласованного Контента любого найденного в нем блока complianz/consent-зоны, не проверяя, опубликован ли сообщение опубликовано или есть ли у пользователя разрешение на его чтение. Это позволяет неаутентичным злоумышленникам читать область согласия, блокирующее контент из частных, черновых или неопубликованных сообщений.
CVE-2026-2389Плагин Complianz - GDPR/CCPA Cookie Consent для WordPress уязвим для хранимого кросс-сайта во всех версиях до 7.4.4.2. Это связано с функцией `revert_divs_to_summary` замены `”` HTML-сущностей буквальными двойными котировками в контенте постов без последующей санации. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице. Плагин Classic Editor должен быть установлен и активирован для использования этой уязвимости.
CVE-2023-6498Плагин Complianz – GDPR/CCPA Cookie Consent для WordPress уязвим для Stored Cross-Site Scripting через настройки администратора во всех версиях до 6.5.5 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу. Это касается только многосайтовых установок и установок, в которых unfiltered_html был отключен.
CVE-2024-1592Плагин Complianz – GDPR/CCPA Cookie Consent для WordPress уязвим для межсайтовой подделки запросов (Cross-Site Request Forgery) во всех версиях до 6.5.6 включительно. Это связано с отсутствием или некорректной проверкой nonce для функции process_delete в class-DNSMPD.php. Это позволяет неаутентифицированным злоумышленникам удалять запросы данных GDPR с помощью поддельного запроса, если они смогут обманом заставить администратора сайта выполнить действие, например, щелкнуть ссылку.