anchore_overrides,nvd
Rednao
Уязвимости
27
Эксплуатируемые
0
Критический
2
Высокий
6
Топ продуктов
Топ уязвимостей
CVE-2026-52704Неправильный контроль генерации кода («Введение кода») в Edgar Rojas WooCommerce PDF Invoice Builder позволяет включать удаленный код.
Эта проблема затрагивает WooCommerce PDF Invoice Builder: от n/a до 2.0.8.
CVE-2023-40207Неправильная нейтрализация специальных элементов, используемых в команде SQL ('SQL Injection') уязвимость в RedNao Donations Made Easy – Smart Donations позволяет SQL Injection. Эта проблема затрагивает Donations Made Easy – Smart Donations: от n/a до 4.0.12.
CVE-2023-51486Уязвимость Cross-Site Request Forgery (CSRF) в RedNao WooCommerce PDF Invoice Builder. Эта проблема затрагивает WooCommerce PDF Invoice Builder: с n/a по 1.2.101.
CVE-2023-49856Уязвимость Missing Authorization в RedNao Smart Forms позволяет эксплуатировать некорректно настроенные уровни контроля доступа. Эта проблема затрагивает Smart Forms: от n/a до 2.6.84.
CVE-2023-47551Уязвимость Cross-Site Request Forgery (CSRF) в RedNao Donations Made Easy – Smart Donations. Эта проблема затрагивает Donations Made Easy – Smart Donations: от n/a до 4.0.12.
CVE-2023-38475Уязвимость Missing Authorization в RedNao Donations Made Easy – Smart Donations позволяет Exploiting Incorrectly Configured Access Control Security Levels. Эта проблема затрагивает Donations Made Easy – Smart Donations: от n/a до 4.0.12.
CVE-2023-3677Плагин WooCommerce PDF Invoice Builder для WordPress уязвим для SQL-инъекций через параметр pageId в версиях до 1.2.89 включительно из-за недостаточной экранировки пользовательского параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет подписчикам или пользователям с более высокими правами добавлять дополнительные SQL-запросы к уже существующим запросам, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2019-5924Уязвимость межсайтовой подделки запросов (CSRF) в Smart Forms 2.6.15 и более ранних версиях позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов через специально созданную страницу.
CVE-2024-1307WordPress плагин Smart Forms до версии 2.6.94 не имеет надлежащей авторизации в некоторых действиях, что может позволить пользователям с ролью не ниже подписчика вызывать их и выполнять неавторизованные действия.
CVE-2022-0163WordPress плагин Smart Forms до версии 2.6.71 не имеет авторизации в своем AJAX действии rednao_smart_forms_entries_list, что позволяет любому аутентифицированному пользователю, такому как подписчик, загружать данные произвольной формы, которые могут включать конфиденциальную информацию, такую как PII, в зависимости от формы.
CVE-2024-11276Плагин PDF Builder for WooCommerce. Create invoices,packing slips and more для WordPress уязвим для отраженного межсайтового скриптинга через параметр 'page' во всех версиях до 1.2.136 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить такое действие, как нажатие на ссылку.
CVE-2023-7203Плагин Smart Forms WordPress до версии 2.6.87 не имеет авторизации в различных AJAX-действиях, что может позволить пользователям с ролью подписчика вызывать их и выполнять несанкционированные действия, такие как удаление записей. Плагину также не хватает проверок CSRF в некоторых местах, что может позволить злоумышленникам заставить вошедших в систему пользователей выполнять нежелательные действия посредством CSRF-атак, такие как удаление записей.
CVE-2023-47550Уязвимость Cross-Site Request Forgery (CSRF) в RedNao Donations Made Easy – Smart Donations позволяет использовать Stored XSS. Эта проблема затрагивает Donations Made Easy – Smart Donations: от n/a до 4.0.12.
CVE-2023-46076Unauth. Reflected Cross-Site Scripting (XSS) уязвимость в плагине RedNao WooCommerce PDF Invoice Builder, Create invoices, packing slips and more версий <= 1.2.102.
CVE-2023-40664Неавторизованная уязвимость межсайтового скриптинга (XSS) в плагине RedNao Donations Made Easy – Smart Donations <= 4.0.12 версии.
CVE-2023-32603Неавторизованная Reflected Cross-Site Scripting (XSS) уязвимость в плагине RedNao Donations Made Easy – Smart Donations версий <= 4.0.12.
CVE-2024-1905Плагин Smart Forms для WordPress до версии 2.6.96 не производит очистку и экранирование некоторых своих настроек, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting) даже тогда, когда возможность unfiltered_html запрещена (например, в многосайтовой установке).
CVE-2024-1306Плагин Smart Forms WordPress до версии 2.6.94 не имеет проверок CSRF в некоторых местах, что может позволить злоумышленникам заставить вошедших в систему пользователей выполнять нежелательные действия с помощью атак CSRF, такие как редактирование записей, и мы считаем это риском средней степени.
CVE-2023-4160Плагин WooCommerce PDF Invoice Builder для WordPress уязвим для Stored Cross-Site Scripting через настройки администратора в версиях до 1.2.90 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет злоумышленникам, прошедшим проверку подлинности, с правами администратора и выше, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице. Это затрагивает только многосайтовые установки и установки, в которых unfiltered_html был отключен.
CVE-2025-5055Плагин Smart Forms – when you need more than just a contact form для WordPress уязвим к межсайтовому скриптингу (XSS) через настройки администратора во всех версиях вплоть до 2.6.98 из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет авторизованным злоумышленникам с правами администратора внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/7f52cbb4-8fe3-4402-8ece-261d32329a42?source=cve
- [2] https://wordpress.org/plugins/smart-forms/
CVE-2026-2022Плагин Smart Forms для WordPress уязвим для несанкционированного доступа к данным из-за отсутствующей проверки возможностей на действия AJAX 'rednao_smart_forms_get_campaigns во всех версиях до 2,6.99. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчиков и выше получать данные кампании пожертвования, включая идентификаторы кампании и имена.
CVE-2025-64269Уязвимость с пропуском авторизации в EDGARROJAS WooCommerce PDF Invoice Builder woo-pdf-invoice-builder позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает WooCommerce PDF Invoice Builder: от n/a до <= 1.2.150.
CVE-2025-53203Уязвимость Cross-Site Request Forgery (CSRF) в EDGARROJAS WooCommerce PDF Invoice Builder woo-pdf-invoice-Builder позволяет Cross Site Request Forgery.Эта проблема затрагивает WooCommerce PDF Invoice Builder: от n/a до <= 1.2.148.
CVE-2024-33593Отсутствие авторизации в RedNao Smart Forms. Эта проблема затрагивает Smart Forms: от n/a до 2.6.91.
CVE-2023-4245WooCommerce PDF Invoice Builder для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей в функции GetInvoiceDetail в версиях до 1.2.89 включительно. Это позволяет подписчикам просматривать произвольные счета, если они могут угадать идентификатор заказа и идентификатор счета.