anchore_overrides,nvd
Softaculous
Уязвимости
17
Эксплуатируемые
0
Критический
2
Высокий
7
Топ уязвимостей
CVE-2017-6513WHMCS Reseller Module V2 2.0.2 в Softaculous Virtualizor до версии 2.9.1.0 неправильно проверяет пользователя, что позволяет удаленным аутентифицированным пользователям управлять другими виртуальными машинами, управляемыми Virtualizor, путем доступа к измененному URL-адресу.
CVE-2024-24621Softaculous Webuzo содержит уязвимость обхода аутентификации через функцию сброса пароля. Удаленные анонимные злоумышленники могут использовать эту уязвимость для получения полного доступа к серверу в качестве пользователя root.
CVE-2024-24623Softaculous Webuzo содержит уязвимость внедрения команд в функциональности управления FTP. Удаленный аутентифицированный злоумышленник может использовать эту уязвимость для получения возможности выполнения кода в системе.
CVE-2024-24622Softaculous Webuzo содержит внедрение команд в функцию сброса пароля. Удаленный аутентифицированный злоумышленник может использовать эту уязвимость для выполнения кода в системе.
CVE-2020-26886Softaculous до версии 5.5.7 подвержен уязвимости выполнения кода из-за внешней инициализации доверенных переменных или хранилищ данных. Это приводит к повышению привилегий на локальном хосте.
CVE-2024-1189Уязвимость была обнаружена в AMPPS 2.7 и классифицирована как проблемная. Эта уязвимость затрагивает неизвестную функциональность компонента Encryption Passphrase Handler. Манипуляция приводит к отказу в обслуживании. Атака может быть запущена удаленно. Эксплойт был раскрыт публично и может быть использован. Обновление до версии 4.0 может решить эту проблему. Рекомендуется обновить затронутый компонент. Связанным идентификатором этой уязвимости является VDB-252679. ПРИМЕЧАНИЕ. Поставщик объясняет, что AMPPS 4.0 — это полная переработка, и код был переписан.
CVE-2024-0842Плагин Backuply – Backup, Restore, Migrate and Clone для WordPress уязвим для отказа в обслуживании во всех версиях до 1.2.5 включительно. Это связано с прямым доступом к файлу backuply/restore_ins.php. Это позволяет неаутентифицированным злоумышленникам отправлять чрезмерные запросы, что приводит к исчерпанию ресурсов сервера.
CVE-2013-6041index.php в Softaculous Webuzo до версии 2.1.4 позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в файле cookie SOFTCookies sid в рамках действия входа в систему.
CVE-2024-8669Плагин Backuply – Backup, Restore, Migrate and Clone для WordPress подвержен SQL-инъекции через параметр 'options', переданный в функцию backuply_wp_clone_sql() во всех версиях до 1.3.4 включительно из-за недостаточной экранировки предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа администратора и выше добавлять дополнительные SQL-запросы в уже существующие запросы, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2025-10307Плагин Backuply – Backup, Restore, Migrate and Clone для WordPress уязвим к произвольному удалению файлов из-за недостаточной проверки пути к файлу в функциональности удаления резервных копий во всех версиях вплоть до 1.4.8 включительно. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше удалять произвольные файлы на сервере, что может легко привести к выполнению произвольного кода при удалении подходящего файла (например, wp-config.php). Уязвимость была исправлена в версии 1.4.9 [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/0dd53fad-1bd7-41ed-95cb-205a9b421724?source=cve
- [2] https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3363283%40backuply&new=3363283%40backuply&sfp_email=&sfph_mail=
CVE-2024-43299Уязвимость Cross-Site Request Forgery (CSRF) в Softaculous Team SpeedyCache. Эта проблема затрагивает SpeedyCache: от n/a до 1.1.8.
CVE-2013-6043Функция входа в Softaculous Webuzo до версии 2.1.4 предоставляет различные сообщения об ошибках для недействительных попыток аутентификации в зависимости от того, существует ли учетная запись пользователя, что позволяет удаленным злоумышленникам перечислять имена пользователей через серию запросов.
CVE-2024-2294Плагин Backuply – Backup, Restore, Migrate and Clone для WordPress подвержен обходу каталогов во всех версиях до 1.2.7 включительно через параметр backup_name в функции backuply_download_backup. Это позволяет злоумышленникам иметь учетную запись только с возможностью activate_plugins для доступа к произвольным файлам на сервере, которые могут содержать конфиденциальную информацию. Это влияет только на сайты, размещенные на серверах Windows.
CVE-2024-0697Плагин Backuply – Backup, Restore, Migrate and Clone для WordPress уязвим для обхода каталогов во всех версиях до версии 1.2.3 включительно через параметр node_id в функции backuply_get_jstree. Это позволяет злоумышленникам с правами администратора или выше читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
CVE-2023-6598Плагин SpeedyCache для WordPress подвержен несанкционированному изменению данных из-за отсутствия проверки возможностей для функций speedycache_save_varniship, speedycache_img_update_settings, speedycache_preloading_add_settings и speedycache_preloading_delete_resource во всех версиях до 1.1.3 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже подписчика обновлять параметры плагина.
CVE-2023-49746Уязвимость подделки запросов на стороне сервера (SSRF) в Softaculous Team SpeedyCache – Cache, Optimization, Performance. Эта проблема затрагивает SpeedyCache – Cache, Optimization, Performance: с n/a по 1.1.2.
CVE-2013-6042Межсайтовый скриптинг (XSS) уязвимость в filemanager/login.php в модуле File Manager в Softaculous Webuzo до версии 2.1.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр user.