V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Themesgrove

Уязвимости
14
Эксплуатируемые
0
Критический
0
Высокий
3

Топ уязвимостей

CVE-2025-25171Использование уязвимости альтернативного пути или канала в Convers Lab WP SmartPay smartpay позволяет злоупотреблять аутентификацией.Эта проблема затрагивает WP SmartPay: от n/a до <= 2.7.13.
CVE-2025-32689Уязвимость неправильной валидации указанного количества в входных данных в плагине WP SmartPay для WordPress. Эта проблема затрагивает WP SmartPay версии до 2.7.13 включительно. На данный момент официального исправления нет [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/smartpay/vulnerability/wordpress-download-manager-and-payment-form-2-7-12-other-vulnerability-type-vulnerability?_s_id=cve
CVE-2023-38391Неправильная нейтрализация специальных элементов, используемых в команде SQL ("SQL-инъекция"), уязвимость в Themesgrove Onepage Builder допускает SQL-инъекцию. Эта проблема затрагивает Onepage Builder: от n/a до 2.4.1.
CVE-2025-49074Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в плагине ThemesGrove WidgetKit позволяет Stored XSS. Это влияет на WidgetKit: от n/a до 2.5.4 [1]. Обновление до версии 2.5.5 или более поздней устраняет эту уязвимость. Источники: - [1] https://patchstack.com/database/wordpress/plugin/widgetkit-for-elementor/vulnerability/wordpress-widgetkit-plugin-2-5-4-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2024-34548Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в Themesgrove WidgetKit позволяет использовать Stored XSS. Эта проблема затрагивает WidgetKit: от n/a до 2.4.8.
CVE-2025-8779Плагин All-in-One Addons for Elementor - WidgetKit для WordPress уязвим для Хранимого кросс-сайта через виджеты команды плагина и обратный отсчет во всех версиях до 2,5.6 из-за недостаточной санации ввода и выхода на поставляемые пользователем атрибуты. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2025-2330Плагин All-in-One Addons for Elementor - WidgetKit для WordPress уязвим для Хранимого кросс-сайта с помощью виджета плагина «кнопка +-модальный» во всех версиях до 2,5.4 из-за недостаточной санации ввода и выхода на поставляемые пользователем атрибуты. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2024-37428Уязвимость Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') в Themesgrove WidgetKit позволяет осуществить Stored XSS. Эта проблема затрагивает WidgetKit: от n/a до 2.5.0.
CVE-2024-2137Плагин All-in-One Addons for Elementor – WidgetKit для WordPress подвержен межсайтовому скриптингу (Stored Cross-Site Scripting) через несколько ценовых виджетов (например, Pricing Single, Pricing Icon, Pricing Tab) во всех версиях до 2.4.8 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с правами участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на зараженную страницу.
CVE-2021-24267Плагин “All-in-One Addons for Elementor – WidgetKit” WordPress до версии 2.3.10 имеет несколько виджетов, которые уязвимы для сохраненного межсайтового скриптинга (XSS) пользователями с более низкими привилегиями, такими как участники, все через аналогичный метод.
CVE-2024-33908Уязвимость отсутствия авторизации в Themesgrove WidgetKit. Эта проблема затрагивает WidgetKit: от n/a до 2.5.0.
CVE-2022-4256WordPress-плагин All-in-One Addons for Elementor до версии 2.4.4 не очищает и не экранирует некоторые свои настройки, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием хранимого межсайтового скриптинга даже тогда, когда возможность unfiltered_html запрещена (например, в многосайтовой установке).
CVE-2025-3851Плагин Download Manager and Payment Form WordPress Plugin – WP SmartPay для WordPress уязвим к Insecure Direct Object Reference в версиях от 1.1.0 до 2.7.13 через функцию show() из-за отсутствия проверки контролируемого пользователем ключа. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше просматривать данные других пользователей, такие как адрес электронной почты, имя и заметки [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/3aade1bd-b69d-4134-a4f7-78372a291557?source=cve - [2] https://plugins.trac.wordpress.org/browser/smartpay/tags/2.7.13/app/Http/Controllers/Rest/CustomerController.php#L34
CVE-2024-10321Плагин All-in-One Addons для Elementor – WidgetKit для WordPress подвержен утечке чувствительной информации во всех версиях до 2.5.4 включительно в elements/advanced-tab/template/view.php. Это позволяет аутентифицированным злоумышленникам с доступом уровня Контрибьютора и выше извлекать чувствительные данные о частных, ожиданиях и черновиках шаблонов.
Открыть в каталоге с фильтром по вендору →