nvd,anchore_overrides
Schiocco
Уязвимости
11
Эксплуатируемые
0
Критический
3
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2025-4855Плагин Support Board для WordPress уязвим к неавторизованному доступу/изменению/удалению данных из-за использования жестко закодированных секретов по умолчанию в функции sb_encryption() во всех версиях до 3.8.0 включительно. Это позволяет неавторизованным злоумышленникам обойти авторизацию и выполнить произвольные действия AJAX, определенные в функции sb_ajax_execute(). Злоумышленник может использовать эту уязвимость, чтобы эксплуатировать CVE-2025-4828 и различные другие функции без аутентификации [1][2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/afd48bc8-d490-4a3e-97fc-70cf008cbf66?source=cve
- [2] https://codecanyon.net/item/support-board-help-desk-and-chat/20359943
CVE-2025-4828Плагин Support Board для WordPress уязвим к удалению произвольных файлов из-за недостаточной проверки пути к файлу в функции sb_file_delete во всех версиях до 3.8.0 включительно. Это позволяет злоумышленникам удалять произвольные файлы на сервере, что может привести к выполнению произвольного кода при удалении нужного файла (например, wp-config.php). Злоумышленник может использовать уязвимость CVE-2025-4855 для эксплуатации этой уязвимости без аутентификации [1][2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/33989611-8640-4c33-a34e-14f10cd7286d?source=cve
- [2] https://codecanyon.net/item/support-board-help-desk-and-chat/20359943
CVE-2021-24741Плагин Support Board WordPress до версии 3.3.4 не экранирует несколько параметров POST (таких как status_code, department, user_id, conversation_id, conversation_status_code и recipient_id) перед использованием их в операторах SQL, что приводит к SQL-инъекциям, которые могут быть использованы неаутентифицированными пользователями.
CVE-2026-4815Уязвимость SQL Injection была обнаружена в Совете по поддержке v3.7.7. Эта уязвимость позволяет злоумышленнику извлекать, создавать, обновлять и удалять базу данных через параметр 'clls[0][message_ids][]' в '/supportboard/include/ajax.php' конечная точка.
CVE-2025-54031Неправильное управление filename для включения/ребовещения в программу PHP (PHP Remote File Inclusion) в доске поддержки Schiocco поддерживает поддерживает щит обеспечивает включение PHP Local File.Эта проблема затрагивает Совет поддержки: от n/a до <= 3.8.0.
CVE-2021-24823Плагин Support Board для WordPress до версии 3.3.6 не имеет никаких проверок CSRF в действиях, обрабатываемых файлом include/ajax.php, что может позволить злоумышленникам заставить вошедших в систему пользователей выполнять нежелательные действия. Например, заставить администратора удалить произвольные файлы.
CVE-2025-60182Неправильная нейтрализация входных данных во время генерации веб-страниц («Cross-site Scripting») в встроенной доске поддержки Schiocco позволяет Reflected XSS.Эта проблема затрагивает Совет поддержки: от n/a до < 3.8.7.
CVE-2025-54027Неправильное нейтрализованное введение во время уязвимости генерации веб-страниц («Cross-site Scripting») в доске поддержки Schiocco позволяет Reflected XSS.Эта проблема влияет на Совет поддержки: от n/a до <= 3.8.0.
CVE-2021-24807Плагин Support Board WordPress до версии 3.3.5 позволяет аутентифицированным пользователям (Agent+) выполнять межсайтовые скриптовые атаки, размещая полезную нагрузку в поле заметок, когда администратор или любой аутентифицированный пользователь переходит в чат, XSS будет автоматически выполнена.
CVE-2018-18373В плагине Schiocco "Support Board - Chat And Help Desk" 1.2.3 для WordPress обнаружена уязвимость Stored XSS в областях загрузки файлов в разделах Chat и Help Desk через параметр msg в действии /wp-admin/admin-ajax.php sb_ajax_add_message.
CVE-2026-4816Уязвимость Reflected Cross Site Scripting (XSS) была обнаружена в Совете поддержки v3.7.7. Эта уязвимость позволяет злоумышленнику выполнять код JavaScript в браузере жертвы, отправляя жертве вредоносный URL-адрес, используя параметр «поиск» в '/supportboard/include/articles.php'. Эта уязвимость может быть использована для кражи конфиденциальных пользовательских данных, таких как сеансовые файлы cookie, или для выполнения действий от имени пользователя.