nvd,anchore_overrides
Rocklobster
Уязвимости
10
Эксплуатируемые
0
Критический
3
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2020-35489Плагин contact-form-7 (он же Contact Form 7) до версии 5.3.2 для WordPress допускает неограниченную загрузку файлов и удаленное выполнение кода, поскольку имя файла может содержать специальные символы.
CVE-2023-40609Неправильная нейтрализация специальных элементов, используемых в SQL-команде (SQL Injection), в Aiyaz, maheshpatel Contact form 7 Custom validation допускает SQL-инъекцию. Эта проблема затрагивает Contact form 7 Custom validation: от n/a до 1.1.3.
CVE-2018-20979Плагин contact-form-7 версий до 5.0.4 для WordPress имеет повышение привилегий из-за неправильной обработки capability_type в register_post_type.
CVE-2021-24159Из-за отсутствия очистки и защиты nonce в пользовательской функции CSS злоумышленник может создать запрос для внедрения вредоносного JavaScript на сайт с помощью плагина Contact Form 7 Style WordPress до версии 3.1.9. Если злоумышленник успешно обманом заставил администратора сайта щелкнуть ссылку или вложение, то запрос может быть отправлен, и настройки CSS будут успешно обновлены, чтобы включить вредоносный JavaScript.
CVE-2023-6449Плагин Contact Form 7 для WordPress уязвим для произвольной загрузки файлов из-за недостаточной проверки типа файлов в функции 'validate' и недостаточного черного списка в функции 'wpcf7_antiscript_file_name' в версиях до 5.8.3 включительно. Это позволяет аутентифицированным злоумышленникам с возможностями редактора или выше загружать произвольные файлы на сервер затронутого сайта, но из-за конфигурации htaccess удаленный код в большинстве случаев не может быть выполнен. По умолчанию файл будет немедленно удален с сервера. Однако в некоторых случаях другие плагины могут позволить файлу дольше оставаться на сервере. Это может сделать возможным удаленное выполнение кода в сочетании с другой уязвимостью, такой как локальное включение файлов.
CVE-2024-4704Плагин Contact Form 7 WordPress до версии 5.9.5 имеет открытый редирект, который позволяет злоумышленнику использовать ложный URL-адрес и перенаправлять на URL-адрес по своему выбору.
CVE-2024-2242Плагин Contact Form 7 для WordPress уязвим к отраженному межсайтовому скриптингу через параметр «active-tab» во всех версиях до 5.9 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить какое-либо действие, например, щелкнуть ссылку.
CVE-2025-3247Плагин Contact Form 7 для WordPress уязвим для воспроизведения заказов во всех версиях до 6.0.5 с помощью функции 'wpcf7_sgip_skip_spam_check' из-за недостаточной проверки на ключе, контролируемом пользователем. Это позволяет злоумышленникам с аутентификацией повторно использовать один Stripe Payment Intent для нескольких транзакций. Только первая транзакция обрабатывается через Stripe, но плагин отправляет успешное сообщение электронной почты для каждой транзакции, что может обмануть администратора в выполнении каждого заказа.
CVE-2014-2265Rock Lobster Contact Form 7 до версии 3.7.2 позволяет удаленным злоумышленникам обходить механизм защиты CAPTCHA и отправлять произвольные данные формы, опуская параметр _wpcf7_captcha_challenge_captcha-719.
CVE-2023-6630Плагин Contact Form 7 – Dynamic Text Extension для WordPress уязвим для небезопасной прямой ссылки на объект во всех версиях до 4.1.0 включительно через шорткоды CF7_get_custom_field и CF7_get_current_user из-за отсутствия проверки управляемого пользователем ключа. Это позволяет прошедшим проверку подлинности злоумышленникам с правами участника или выше получать доступ к произвольным метаданным любого типа записи, ссылаясь на запись по идентификатору, а метаданные — по ключу.