anchore_overrides,nvd
Smackcoders
Уязвимости
39
Эксплуатируемые
0
Критический
4
Высокий
20
Топ продуктов
Wp Ultimate Csv Importer12Export All Posts\, Products\, Orders\, Refunds \& Users7Import All Pages\, Post Types\, Products\, Orders\, And Users As Xml \& Csv7Ultimate Exporter7Ultimate Encoder5Lead Form Data Collection To Crm3Sendgrid3Echo Sign2Wp Ultimate Email Marketer Plugin2Visual Email Designer For Woocommerce1
Топ уязвимостей
CVE-2025-2332Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим для PHP Object Injection во всех версиях до и включая 2.13 через десериализацию ненадежного ввода в функции 'returnMetaValueAsCustomerInput'. Это позволяет неаутентифицированным атакующим внедрять PHP-объекты. В уязвимом программном обеспечении отсутствует известная цепочка POP, что означает, что эта уязвимость не имеет воздействия, если на сайте не установлены другие плагины или темы, содержащие цепочку POP. Если цепочка POP присутствует через установленный на целевой системе дополнительный плагин или тему, это может позволить атакующему выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода в зависимости от присутствующей цепочки POP.
CVE-2024-43965Уязвимость Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') в Smackcoders SendGrid for WordPress позволяет использовать SQL Injection. Эта проблема затрагивает SendGrid for WordPress: от n/a до 1.4.
CVE-2016-11000Плагин wp-ultimate-exporter до версии 1.1 для WordPress имеет SQL-инъекцию через параметр export_type_name.
CVE-2024-56278Неправильный контроль генерации кода (Code Injection) в Smackcoders WP Ultimate Exporter позволяет осуществлять удаленное включение PHP-файлов. Эта проблема затрагивает WP Ultimate Exporter: от n/a до 2.9.1.
CVE-2025-47690Уязвимость Lead Form Data Collection to CRM Plugin связана с отсутствием авторизации, что позволяет осуществить повышение привилегий. Эта проблема затрагивает Lead Form Data Collection to CRM версии до 3.1 включительно. Уязвимость позволяет злоумышленнику повысить привилегии своей учетной записи и получить полный контроль над веб-сайтом. Patchstack выпустил виртуальный патч для устранения этой проблемы. Рекомендуется немедленно устранить или исправить уязвимость [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/wp-leads-builder-any-crm/vulnerability/wordpress-lead-form-data-collection-to-crm-plugin-3-1-arbitrary-option-update-to-privilege-escalation-vulnerability?_s_id=cve
CVE-2025-2008Плагин Import Export Suite для CSV и XML Datafeed для WordPress подвержен уязвимости загрузки произвольных файлов из-за отсутствия проверки типа файла в функции import_single_post_as_csv() во всех версиях до и включая 7.19. Это позволяет аутентифицированным злоумышленникам с правами доступа уровня Подписчика и выше загружать произвольные файлы на сервер затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2023-4142Плагин WP Ultimate CSV Importer для WordPress уязвим для удаленного выполнения кода в версиях до 7.9.8 включительно через параметр '->cus1'. Это позволяет аутентифицированным злоумышленникам с разрешениями уровня автора или выше, если администратор ранее предоставил доступ в настройках плагина, выполнять код на сервере. Автор устранил эту уязвимость, удалив возможность для авторов и редакторов импортировать файлы, обратите внимание, что это означает, что удаленное выполнение кода по-прежнему возможно для администраторов сайта, используйте плагин с осторожностью.
CVE-2023-4141Плагин WP Ultimate CSV Importer для WordPress уязвим для удаленного выполнения кода в версиях до 7.9.8 включительно через параметр '->cus2'. Это позволяет аутентифицированным злоумышленникам с разрешениями уровня автора или выше, если администратор ранее предоставил доступ в настройках плагина, создавать PHP-файл и выполнять код на сервере. Автор устранил эту уязвимость, удалив возможность для авторов и редакторов импортировать файлы, обратите внимание, что это означает, что создание php-файлов по-прежнему разрешено для администраторов сайта, используйте плагин с осторожностью.
CVE-2023-4140Плагин WP Ultimate CSV Importer для WordPress уязвим для повышения привилегий в версиях до 7.9.8 включительно из-за недостаточного ограничения функции 'get_header_values'. Это позволяет аутентифицированным злоумышленникам с минимальными разрешениями, такими как автор, если администратор ранее предоставил доступ в настройках плагина, изменять свою роль пользователя, предоставив параметр 'wp_capabilities->cus1'.
CVE-2022-3860Плагин Visual Email Designer for WooCommerce WordPress до версии 1.7.2 неправильно очищает и экранирует параметр перед использованием его в операторе SQL, что приводит к SQL-инъекции, используемой пользователями с ролью не ниже автора.
CVE-2018-20968Плагин wp-ultimate-exporter версий до 1.4.2 для WordPress имеет CSRF.
CVE-2018-20967Плагин wp-ultimate-csv-importer версий до 5.6.1 для WordPress имеет CSRF.
CVE-2015-10125В WP Ultimate CSV Importer Plugin 3.7.2 на WordPress была обнаружена проблема, классифицированная как проблемная. Это затрагивает неизвестную часть. Манипуляция приводит к межсайтовой подделке запросов. Можно инициировать атаку удаленно. Обновление до версии 3.7.3 может решить эту проблему. Идентификатор патча — 13c30af721d3f989caac72dd0f56cf0dc40fad7e. Рекомендуется обновить затронутый компонент. Этой уязвимости был присвоен идентификатор VDB-241317.
CVE-2025-30810Некорректная нейтрализация специальных элементов, используемых в SQL-командах ('SQL-инъекция'), в сборе данных формы лидов от smackcoders в CRM позволяет осуществлять слепую SQL-инъекцию. Эта проблема затрагивает сбор данных формы лидов в CRM: с n/a по 3.0.1.
CVE-2025-2007Плагин Import Export Suite для CSV и XML Datafeed для WordPress уязвим к произвольному удалению файлов из-за недостаточной проверки файлового пути в функции deleteImage() в версиях до 7.19 включительно. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Подписчика и выше удалять произвольные файлы на сервере, что может легко привести к удаленному выполнению кода, если соответствующий файл (например, wp-config.php) будет удален.
CVE-2025-10058В плагине WP Import – Ultimate CSV XML Importer для WordPress обнаружена уязвимость, позволяющая злоумышленникам удалять произвольные файлы на сервере из-за недостаточной проверки пути к файлу в функции upload_function() во всех версиях до 7.27 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа «Subscriber» и выше удалять произвольные файлы на сервере, что может легко привести к выполнению произвольного кода при удалении нужного файла (например, wp-config.php) [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/5a6bcfa6-7a40-4566-b4d2-62b696ded2d6?source=cve
CVE-2025-10040Плагин WP Import – Ultimate CSV XML Importer для WordPress содержит уязвимость неавторизованного доступа к данным из-за отсутствия проверки прав доступа на AJAX-действие 'get_ftp_details' во всех версиях до 7.27 включительно. Аутентифицированные злоумышленники с правами подписчика и выше могут получить доступ к настроенным учетным данным SFTP/FTP [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/9bcdcaa4-c492-4d79-8d18-44802abd02e7?source=cve
- [2] https://plugins.trac.wordpress.org/browser/wp-ultimate-csv-importer/tags/7.26/uploadModules/FtpUpload.php#L231
- [3] https://plugins.trac.wordpress.org/changeset/3357936/wp-ultimate-csv-importer/trunk/uploadModules/FtpUpload.php
CVE-2024-12315Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим к утечке конфиденциальной информации во всех версиях до и включая 2.9.3 через директорию exports. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные, хранящиеся небезопасно в директории /wp-content/uploads/smack_uci_uploads/exports/, которая может содержать информацию, такую как экспортированные пользовательские данные.
CVE-2023-45066Уязвимость, связанная с раскрытием конфиденциальной информации неавторизованному субъекту, в Smackcoders Export All Posts, Products, Orders, Refunds & Users. Проблема затрагивает Export All Posts, Products, Orders, Refunds & Users версий от n/a до 2.4.1.
CVE-2023-4139Плагин WP Ultimate CSV Importer для WordPress уязвим для раскрытия конфиденциальной информации через листинг каталогов из-за отсутствия ограничений в индексировании папок экспорта в версиях до 7.9.8 включительно. Это позволяет не прошедшим проверку подлинности злоумышленникам перечислять и просматривать экспортированные файлы.
CVE-2023-2487Уязвимость Exposure of Sensitive Information to an Unauthorized Actor в Smackcoders Export All Posts, Products, Orders, Refunds & Users. Эта проблема затрагивает Export All Posts, Products, Orders, Refunds & Users: с n/a до 2.4.1.
CVE-2025-13145Импорт WP – Ultimate CSV XML Импорт для плагина WordPress для WordPress уязвим для инъекций объектов PHP во всех версиях до 7,33.1. Это связано с дезериаизацией ненадежных данных, предоставляемых через импорт файлов CSV в функции импорта_single_post_as_csv в рамках SingleImportExport.php. Это позволяет аутентифицированным злоумышленникам с доступом на уровне администратора или выше вводить объект PHP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику удалять произвольные файлы, извлекать конфиденциальные данные или выполнять код.
CVE-2022-3243Плагин Import all XML, CSV & TXT WordPress версий до 6.5.8 неправильно очищает и экранирует импортированные данные перед их использованием в SQL-запросах, что приводит к SQL-инъекции, используемой пользователями с высокими привилегиями, такими как администратор.
CVE-2022-1977Плагин Import Export All WordPress Images, Users & Post Types WordPress до версии 6.5.3 не полностью проверяет файл, импортируемый через URL, перед отправкой HTTP-запроса к нему, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять Blind SSRF-атаки.
CVE-2026-1317Импорт WP - Ultimate CSV XML Импорт для плагина WordPress для WordPress уязвим для SQL Injection во всех версиях до 7,37. Это связано с недостаточным побега параметра `file_name` который сохраняется в базе данных во время загрузки файлов, а затем используется в необработанных SQL-запросах без надлежащей дезинфекции. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика или выше встраивать дополнительные SQL-запросы в уже существующие запросы через вредоносное имя файла, которое может быть использовано для извлечения конфиденциальной информации из базы данных. Уязвимость может быть использована только при включении опции «Единый импорт/экспорт», и на сервере работает версия PHP < 8.0.