nvd,anchore_overrides
Simple-membership-plugin
Уязвимости
25
Эксплуатируемые
0
Критический
2
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2023-41957Неправильное управление привилегиями в smp7, wp.Insider Simple Membership позволяет повысить привилегии. Эта проблема затрагивает Simple Membership: от n/a до 4.3.4.
CVE-2022-2317Плагин Simple Membership WordPress до версии 4.1.3 позволяет пользователю изменять свое членство на этапе регистрации из-за недостаточной проверки параметра, предоставленного пользователем.
CVE-2023-41956Неправильная аутентификация в smp7, wp.Insider Simple Membership. Эта проблема затрагивает Simple Membership: от n/a до 4.3.4.
CVE-2022-2273WordPress плагин Simple Membership до версии 4.1.3 неправильно проверяет параметр membership_level при редактировании профиля, что позволяет участникам повышать уровень членства, используя специально созданный POST-запрос.
CVE-2019-14328Плагин Simple Membership до версии 3.8.5 для WordPress имеет CSRF, затрагивающий раздел Bulk Operation.
CVE-2016-10884Плагин simple-membership до версии 3.3.3 для WordPress имеет несколько проблем CSRF.
CVE-2024-11088Плагин Simple Membership для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до 4.5.5 включительно через функцию поиска WordPress core. Это позволяет неавторизованным злоумышленникам извлекать конфиденциальные данные из сообщений, доступ к которым был ограничен ролям более высокого уровня, таким как администратор.
CVE-2026-1461Плагин Simple Membership для WordPress уязвим для неправильной обработки недостающих значений во всех версиях до 4.7.0 через обработчик веб-хука Stripe. Это связано с тем, что плагин проверяет подписи Webhook только тогда, когда настроена настраиваемую настройку секрета, которая по умолчанию пуста. Это позволяет неаутентифицированным злоумышленникам подделывать веб-крючки Stripe для манипулирования подписками на членство, включая повторное активирование просроченного членства без оплаты или отмену законных подписок, что может привести к несанкционированному доступу и нарушению обслуживания.
CVE-2022-0681Плагин Simple Membership WordPress до версии 4.1.0 не имеет проверки CSRF при удалении транзакций, что может позволить злоумышленникам заставить вошедшего в систему администратора удалять произвольные транзакции с помощью атаки CSRF.
CVE-2024-49682Перенаправление URL на ненадежный сайт («Открытое перенаправление») в smp7, wp.Insider Simple Membership позволяет осуществлять фишинг. Эта проблема затрагивает Simple Membership: от n/a до 4.5.3.
CVE-2024-22308Перенаправление URL на ненадежный сайт (открытое перенаправление) в smp7, wp.Insider Simple Membership. Эта проблема затрагивает Simple Membership: от n/a до 4.4.1.
CVE-2024-1985WordPress плагин Simple Membership уязвим для Stored Cross-Site Scripting через параметр 'Display Name' во всех версиях до 4.4.2 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это делает возможным для неаутентифицированных злоумышленников внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу. Эта уязвимость требует социальной инженерии для успешной эксплуатации, и воздействие будет очень ограниченным из-за того, что злоумышленнику требуется, чтобы пользователь вошел в систему как пользователь с внедренной полезной нагрузкой для выполнения.
CVE-2023-6882Плагин Simple Membership для WordPress уязвим для отраженного межсайтового скриптинга через параметр «environment_mode» во всех версиях до 4.3.8 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2023-50376Неправильная нейтрализация входных данных во время генерации веб-страницы (межсайтовый скриптинг) в smp7, wp.Insider Simple Membership позволяет выполнять отраженный XSS. Эта проблема затрагивает Simple Membership: от n/a до 4.3.8.
CVE-2023-4719Плагин Simple Membership для WordPress подвержен отраженному межсайтовому скриптингу (Reflected Cross-Site Scripting) через параметр `list_type` в версиях до 4.3.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Используя эту уязвимость, неаутентифицированные злоумышленники могут внедрять произвольные веб-скрипты на страницы, которые будут выполняться, если им удастся обманом заставить пользователя предпринять действие, например, перейти по вредоносной ссылке.
CVE-2022-1724Плагин Simple Membership WordPress до версии 4.1.1 неправильно очищает и экранирует параметры перед их выводом в AJAX-действиях, что приводит к отраженному межсайтовому скриптингу.
CVE-2017-18499Плагин simple-membership версий до 3.5.7 для WordPress имеет XSS.
CVE-2025-49333Уязвимость неправильной нейтрализации ввода во время генерации веб-страницы ('межсайтовый скриптинг') в wp.insider Simple Membership позволяет осуществить Stored XSS. Это влияет на Simple Membership: от n/a до версии 4.6.3 включительно. Обновите версию до 4.6.4 или более позднюю, чтобы устранить уязвимость. Проблема имеет низкий уровень серьезности и вряд ли будет эксплуатироваться. Источники: - [1] https://patchstack.com/database/wordpress/plugin/simple-membership/vulnerability/wordpress-simple-membership-4-6-3-cross-site-scripting-xss-vulnerability?_s_id=cve
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/simple-membership/vulnerability/wordpress-simple-membership-4-6-3-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2026-24986Уязвимость Cross-Site Request Forgery (CSRF) в wp.insider Простое членство WP пользователя Импорт simple-membership-wp-user-import позволяет Cross Site Request Forgery.Эта проблема затрагивает Simple Membership WP user Import: от n/a до <= 1.9.1.
CVE-2024-4383Плагин Simple Membership для WordPress уязвим для хранения межсайтового скриптинга через шорткод плагина 'swpm_paypal_subscription_cancel_link' во всех версиях, включая 4.4.5, из-за недостаточной очистки ввода и экранирования вывода в атрибутах, предоставленных пользователем. Это позволяет аутентифицированным злоумышленникам с правами доступа уровня contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице.
CVE-2024-3730Плагин Simple Membership для WordPress уязвим для сохраненного межсайтового скриптинга через шорткод плагина 'swpm_paypal_subscription_cancel_link' во всех версиях до 4.4.3 включительно из-за недостаточной очистки входных данных и экранирования выходных данных в атрибутах, предоставляемых пользователем. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице.
CVE-2022-4469Плагин WordPress Simple Membership до версии 4.2.2 не проверяет и не экранирует некоторые свои атрибуты шорткода перед их выводом обратно на странице, что может позволить пользователям с ролью не ниже, чем участник, выполнять Stored Cross-Site Scripting атаки, которые могут быть использованы против пользователей с высокими привилегиями, такими как администратор.
CVE-2023-0254Плагин Simple Membership WP user Import для WordPress уязвим для SQL-инъекций через параметр orderby в версиях до 1.7 включительно из-за недостаточного экранирования предоставленного пользователем параметра. Это позволяет аутентифицированным злоумышленникам с правами администратора добавлять дополнительные SQL-запросы к уже существующим запросам, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2022-0328Плагин Simple Membership WordPress до версии 4.0.9 не имеет проверки CSRF при массовом удалении участников, что может позволить злоумышленникам заставить вошедшего в систему администратора удалить их с помощью атаки CSRF.
CVE-2026-25308Уязвимость от пропуска авторизации в wp.insider Простое членство простое членство позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает простое членство: от n/a до <= 4.6.9.