nvd,anchore_overrides

Thememove

Уязвимости

Эксплуатируемые

Критический

Высокий

Топ продуктов

Edumall2 Makeaholic2 Minimogwp2 Unicamp2 Aeroland1 Amely1 Billey1 Brook1 Businext1 Healsoul1 Insight Core1 Maxcoach1 Medizin1 Mitech1 Moody1 Smilepure1

Топ уязвимостей

CVE-2025-58210Уязвимость Missing Authorization в ThemeMove Makeaholic позволяет эксплуатировать неправильно настроенные уровни безопасности доступа. Эта проблема затрагивает Makeaholic: начиная с n/a до версии 1.8.5. Обновление до версии 1.8.7 или более поздней устраняет уязвимость [1]. Источники: - [1] https://patchstack.com/database/wordpress/theme/makeaholic/vulnerability/wordpress-makeaholic-theme-1-8-5-broken-access-control-vulnerability?_s_id=cve

CVE-2025-58206Неправильное управление именем файла для оператора Include/Require в PHP-программе (уязвимость «Удалённое включение PHP-файлов») в ThemeMove. MaxCoach допускает локальное включение PHP-файлов. Эта проблема затрагивает MaxCoach версии от «н/д» до 3.2.5.

CVE-2025-54701Неправильное управление именами файла для включения/требуется заявление в PHP Program ('P Remote File Inclusion) в ThemeMove Unicamp unicamp позволяет включить PHP Local File.Эта проблема затрагивает Unicamp: от n/a до <= 2.6.3.

CVE-2025-54700Неправильное управление Filename для Учета Включить / Требовать Установку в PHP-программе ('P Remote File Inclusion) в ThemeMove Makeaholic makeholic позволяет включить PHP Local File.Эта проблема затрагивает Makeaholic: от n/a до <= 1.8.4.

CVE-2025-39474Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command ('SQL Injection') в ThemeMove Amely позволяет SQL Injection.Эта проблема затрагивает Amely: от n/a до <= 3.1.4.

CVE-2025-60069Неправильное управление filename для включения/ребуждения о требованиях в PHP-программе ('P Remote File Inclusion') в ThemeMove Minimog Minimog позволяет включить локальный файл PHP.Эта проблема затрагивает MinimogWP: от n/a до <= 3.9.6.

CVE-2025-59564Тема EduMall (версии < 4.4.5) содержит уязвимость локального включения файлов (PHP Remote File Inclusion). Неконтролируемый параметр пути позволяет включать произвольные файлы сервера, что может привести к выполнению кода [1]. Подробности в базе уязвимостей Patchstack. Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Theme/edumall/vulnerability/wordpress-edumall-theme-4-4-5-local-file-inclusion-vulnerability

CVE-2025-59558Неправильный контроль имени файла при включении/требовании в PHP‑программе (PHP Remote File Inclusion) в теме ThemeMove Billey (billey) позволяет выполнить локальное включение файлов (Local File Inclusion). Уязвимость затрагивает версии темы до 2.1.6 (не включая). По источнику [1] уязвимость классифицируется как высокоопасная, однако её влияние оценивается как низкое и вероятность эксплуатации считается небольшой. Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Theme/billey/vulnerability/wordpress-billey-theme-2-1-6-local-file-inclusion-vulnerability

CVE-2025-59555Тема Medizin для WordPress уязвима к PHP Remote File Inclusion (LFI) из‑за некорректного контроля имени файла в функции include/require. Уязвимость позволяет злоумышленнику включать произвольные файлы на сервере, получая доступ к конфиденциальной информации или исполняя вредоносный код. Затрагивает версии темы до 1.9.7 [1]. Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Theme/medizin/vulnerability/wordpress-medizin-theme-1-9-7-local-file-inclusion-vulnerability

CVE-2025-58967Тема Businext (версии < 2.4.4) содержит уязвимость PHP Local File Inclusion. Злоумышленник может включить произвольный локальный файл через уязвимый параметр, получая возможность выполнить произвольный PHP‑код на сервере. Подробнее см. источник [1]. Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Theme/businext/vulnerability/wordpress-businext-theme-2-4-4-local-file-inclusion-vulnerability

CVE-2025-58958Неправильное управление именем файла в PHP (Remote File Inclusion) в теме WordPress SmilePure (smilepure) позволяет провести локальное включение файлов. Уязвимость затрагивает версии темы до 1.8.5 (не включая). Согласно источнику [1] уязвимость имеет высокий уровень опасности, но вероятность эксплуатации низка. Источники: - [1] https://vdp.patchstack.com/database/Wordpress/Theme/smilepure/vulnerability/wordpress-smilepure-theme-1-8-5-local-file-inclusion-vulnerability

CVE-2025-32309Уязвимость Healsoul Theme связана с неправильным ограничением имени файла для оператора include/require в PHP-программе ('PHP Remote File Inclusion'), что позволяет осуществить включение локального файла. Эта проблема затрагивает Healsoul версии до 2.0.2 включительно. Уязвимость позволяет злоумышленнику включать локальные файлы целевой веб-страницы и отображать их содержимое. Это может потенциально привести к захвату базы данных в зависимости от конфигурации. Patchstack выпустил виртуальный патч для устранения этой проблемы. Рекомендуется немедленно устранить или исправить уязвимость [1]. Источники: - [1] https://patchstack.com/database/wordpress/theme/healsoul/vulnerability/wordpress-healsoul-2-0-2-local-file-inclusion-vulnerability?_s_id=cve

CVE-2025-22708Неправильное управление именами файлов для включения/обязательства в PHP-программу (PHP Remote File Inclusion) в ThemeMove Mitech позволяет включить локальный файл PHP.Эта проблема затрагивает Mitech: от n/a до <= 2.3.4.

CVE-2025-22707Неправильное управление Filename для Учета Включить / Требовать Утверждение в PHP ('P Remote File Inclusion') в ThemeMove Moody tm-moody позволяет PHP Local File Inclusion.Эта проблема затрагивает Moody: от n/a до <= 2.7.3.

CVE-2025-14430Неправильное управление именами файлов для включения/обязательства в PHP Program ('P Remote File Inclusion) в ThemeMove Brook brook позволяет включить локальный файл PHP. Эта проблема затрагивает Brook: от n/a до <= 2.9.0.

CVE-2025-14429Неправильное управление именем файла для Включить / Требовать Установку в PHP-программу ('P Remote File Inclusion') в ThemeMove AeroLand позволяет PHP Local File Inclusion.Эта проблема затрагивает AeroLand: от n/a до <= 1.6.6.

CVE-2026-25027Неправильное управление именем файла для Включить / Требовать Установить в PHP-программу ('P Remote File Inclusion') в ThemeMove Unicamp unicamp позволяет включить PHP Local File.Эта проблема затрагивает Unicamp: от n/a до <= 2.7.1.

CVE-2025-68062Неправильное управление filename для включения/ребования Утверждения в PHP-программе ('P'P Remote File Inclusion) в ThemeMove Minimog Minimog позволяет включить PHP Local File.Эта проблема затрагивает MinimogWP: от n/a до <= 3.9.6.

CVE-2025-68061Неправильное управление именами файлов для включения/потребления Утверждения в PHP-программу ('P'Dutile Inclusion) в ThemeMove EduMall позволяет PHP Local File Inclusion.Эта проблема затрагивает EduMall: от n/a до <= 4.4.7.

CVE-2021-24950WordPress плагин Insight Core до версии 1.0 не имеет никакой авторизации и CSRF проверок в insight_customizer_options_import (доступном любому аутентифицированному пользователю), не проверяет пользовательский ввод перед передачей его в unserialize(), а также не очищает и не экранирует его перед выводом в ответе. В результате это может позволить пользователям с ролью не ниже Subscriber выполнять PHP Object Injection, а также Stored Cross-Site Scripting атаки.

Открыть в каталоге с фильтром по вендору →