nvd,anchore_overrides
Tychesoftwares
Уязвимости
48
Эксплуатируемые
0
Критический
4
Высокий
8
Топ продуктов
Arconix Shortcodes14Print Invoice \& Delivery Notes For Woocommerce12Order Delivery Date For Woocommerce7Abandoned Cart Lite For Woocommerce5Product Delivery Date For Woocommerce5Arconix Faq4Order Delivery Date For Wp E-commerce4Product Input Fields For Woocommerce4Order Delivery Date Pro For Woocommerce3Custom Order Numbers For Woocommerce2Abandoned Cart Pro For Woocommerce1
Топ уязвимостей
CVE-2025-2907Плагин WordPress Order Delivery Date до версии 12.3.1 не имеет проверок авторизации и CSRF при импорте настроек. Кроме того, в нем отсутствуют надлежащие проверки, чтобы обновлять только параметры, относящиеся к плагину Order Delivery Date WordPress до версии 12.3.1. Это позволяет злоумышленникам изменять default_user_role на administrator и users_can_register, разрешая им регистрироваться в качестве администратора сайта для полного захвата сайта [1].
Источники:
- [1] https://wpscan.com/vulnerability/2e513930-ec01-4dc6-8991-645c5267e14c/
CVE-2025-13773Примечания к PrintinWice & Delivery Notes для плагина WooCommerce для WordPress уязвимы для Удаленного исполнения кода во всех версиях до 5.8.0 через функцию «WooCommerce_Delivery_Notes:update». Это связано с отсутствующей проверкой возможностей в функции WooCommerce_Delivery_Notes::update, PHP включен в Dompdf и отсутствующими побегами в файле «template.php». Это позволяет неаудовлетворенным злоумышленникам выполнять код на сервере.
CVE-2024-13359Плагин Product Input Fields для WooCommerce для WordPress уязвим к произвольной загрузке файлов из-за недостаточной проверки типа файла в функции add_product_input_fields_to_order_item_meta() во всех версиях до, включая 1.12.0. Это может позволить неаутентифицированным злоумышленникам загружать произвольные файлы на сервере затронутого сайта, что может сделать возможным удаленное выполнение кода. Обратите внимание, что по умолчанию плагин уязвим только к атаке загрузки файла с двойным расширением, если администраторы не оставят поле допустимых расширений файла пустым, что может сделать возможной загрузку файлов .php. Обратите внимание, что 1.12.2 ошибочно была помечена как исправленная, в то время как 1.12.1 была помечена как уязвимая в течение короткого времени, но это не так, и 1.12.1 полностью исправлена.
CVE-2023-2986Плагин Abandoned Cart Lite for WooCommerce для WordPress подвержен обходу аутентификации в версиях до 5.14.2 включительно. Это связано с недостаточным шифрованием пользователя, предоставляемого во время декодирования ссылки на заброшенную корзину через плагин. Это позволяет не прошедшим проверку подлинности злоумышленникам входить в систему от имени пользователей, которые забросили корзину, которые обычно являются клиентами. В версии 5.15.1 были введены дополнительные меры по усилению безопасности, которые гарантируют, что сайты больше не будут уязвимы через исторические ссылки для оформления заказа, а в версии 5.15.2 были введены дополнительные меры по усилению безопасности, которые гарантируют, что нулевые значения ключей не допустят обхода аутентификации.
CVE-2023-41858Уязвимость межсайтовой подделки запросов (CSRF) в плагине Ashok Rane Order Delivery Date for WP e-Commerce <= 1.2.
CVE-2022-45367Уязвимость Cross-Site Request Forgery (CSRF) в плагине Tyche Softwares Custom Order Numbers для WooCommerce версий <= 1.4.0.
CVE-2026-25317Недостающее разрешение уязвимость в примечаниях к тайминговым программным обеспечениям Печать И Доставки примечательно для WooCommerce позволяет эксплуатировать Неправильный Настройщенный Контроль Уровни безопасности управления доступом.Эта проблема влияет на печать Invoice & Delivery Notes для WooCommerce: от n/a до <= 5.9.0.
CVE-2020-36696Плагин Product Input Fields for WooCommerce для WordPress уязвим для обхода авторизации из-за отсутствия проверки возможностей для функции handle_downloads() в версиях до 1.2.6 включительно. Это позволяет неаутентифицированным злоумышленникам загружать файлы из уязвимой службы.
CVE-2025-47673Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в tychesoftwares Arconix Shortcodes позволяет осуществить Reflected XSS. Эта проблема затрагивает Arconix Shortcodes: с n/a до версии 2.1.16. Уязвимость позволяет злоумышленнику внедрять вредоносные скрипты на веб-страницу, которые будут выполнены при посещении сайта. Рекомендуется немедленно устранить или исправить эту уязвимость. Обновите до версии 2.1.17 или более поздней [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/arconix-shortcodes/vulnerability/wordpress-arconix-shortcodes-plugin-2-1-16-reflected-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-32531Уязвимость неправильной нейтрализации ввода во время генерации веб-страницы ('Cross-site Scripting') в tychesoftwares Arconix FAQ позволяет проводить отраженные XSS-атаки. Эта проблема затрагивает Arconix FAQ версии до 1.9.5 включительно [1].
Эта уязвимость может позволить злоумышленнику внедрить вредоносные скрипты, такие как перенаправления, рекламные объявления и другие HTML-загрузки, в веб-сайт, которые будут выполнены при посещении сайта пользователями.
Рекомендуется немедленно устранить или смягчить эту уязвимость. Patchstack выпустил виртуальный патч для блокировки атак до появления официального исправления [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/arconix-faq/vulnerability/wordpress-arconix-faq-plugin-1-9-5-reflected-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-2929Плагин Order Delivery Date WordPress до версии 12.4.0 не очищает и не экранирует параметр перед выводом его обратно на странице, что приводит к отраженному межсайтовому скриптингу (XSS), который может быть использован против пользователей с высокими привилегиями, таких как администратор.
Доказательство концепции: заставить администратора открыть URL-адрес ниже:
https://example.com/wp-admin/admin-ajax.php?action=orddd_order_calendar_content&order_id=43&event_value=a&event_type=order&event_timeslot=<img src onerror=alert(/XSS-event_timeslot/)>&event_date=<img src onerror=alert(/XSS-event_date/)>
Плагин order-delivery-date исправлен в версии 12.4.0.
Источники:
- [1] https://wpscan.com/vulnerability/e9299d8f-900b-4487-b135-b82946825e61/
CVE-2025-24621Уязвимость неправильной нейтрализации входных данных при генерации веб-страницы ('Cross-site Scripting') в плагине Arconix Shortcodes от tychesoftwares позволяет осуществить отраженный XSS. Эта проблема затрагивает Arconix Shortcodes: версии до 2.1.15 включительно. Уязвимость имеет средний уровень опасности (CVSS 7.1) и может позволить злоумышленнику внедрить вредоносные скрипты на сайт, которые будут выполнены при посещении сайта пользователями [1]. Плагин Arconix Shortcodes версии до 2.1.15 уязвим к межсайтовому скриптингу (XSS). Рекомендуется немедленно обновить плагин до версии 2.1.16 или новее, чтобы устранить уязвимость. Patchstack выпустил виртуальный патч для автоматического устранения этой проблемы до обновления [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/arconix-shortcodes/vulnerability/wordpress-arconix-shortcodes-plugin-2-1-15-reflected-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2026-24946Недостающее использование уязвимости в tychesoftwares Печатные примечания и доставка Notes для WooCommerce woocommerce-поставщиков позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа.Эта проблема влияет на печатные примечания и доставку для WooCommerce: от n/a до <= 5.8.0.
CVE-2025-49858Неправильная нейтрализация ввода во время генерации веб-страниц («Cross-site Scripting») в программных обеспечениях Arconix Shortcodes arconix-сокортодекс позволяет хранить XSS.Эта проблема затрагивает шорткоды Arconix: от n/a до <= 2.1.17.
CVE-2025-13835Неправильная нейтрализация входа во время генерации веб-страниц («Cross-site Scripting») в программных обеспечениях Arconix Shortcodes arconix-короткоды позволяют хранить XSS.Эта проблема затрагивает шорткоды Arconix: от n/a до <= 2.1.20.
CVE-2024-10857Плагин Product Input Fields for WooCommerce для WordPress подвержен обходу каталогов во всех версиях до 1.9 включительно через функцию handle_downloads() из-за недостаточной проверки/очистки пути к файлу. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
CVE-2022-46795Уязвимость Missing Authorization в Tyche Softwares Print Invoice & Delivery Notes for WooCommerce позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Print Invoice & Delivery Notes for WooCommerce: от n/a до 4.7.2.
CVE-2024-9345Плагин Product Delivery Date for WooCommerce – Lite для WordPress уязвим для отраженного межсайтового скриптинга из-за использования add_query_arg без соответствующего экранирования URL-адреса во всех версиях до 2.7.3 включительно. Это позволяет не прошедшим аутентификацию злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если они смогут успешно обманом заставить пользователя выполнить действие, например, щелкнуть ссылку. Это можно использовать только при наличии уведомлений.
CVE-2024-10882Плагин Product Delivery Date for WooCommerce – Lite для WordPress подвержен отраженному межсайтовому скриптингу (Reflected Cross-Site Scripting) из-за использования add_query_arg и remove_query_arg без надлежащего экранирования URL во всех версиях до 2.8.0 включительно. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2024-0678Плагин Order Delivery Date for WP e-Commerce для WordPress уязвим для сохраненного межсайтового скриптинга через параметр 'available-days-tf' во всех версиях до версии 1.2 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2023-41874Неаут. Отраженная уязвимость межсайтового скриптинга (XSS) в плагине Tyche Softwares Order Delivery Date for WooCommerce <= 3.20.0.
CVE-2023-0479Плагин Print Invoice & Delivery Notes for WooCommerce WordPress до версии 4.7.2 уязвим для отраженного XSS-скриптинга, отображая значение GET в примечании администратора на странице заказов WooCommerce. Это означает, что эта уязвимость может быть использована для пользователей с возможностью edit_others_shop_orders. WooCommerce должен быть установлен и активирован. Эта уязвимость вызвана urldecode() после очистки с помощью esc_url_raw(), что позволяет использовать двойное кодирование.
CVE-2019-25152Плагины Abandoned Cart Lite для WooCommerce и Abandoned Cart Pro для WooCommerce для WordPress подвержены межсайтовому скриптингу (Stored Cross-Site Scripting) через несколько параметров в версиях до 5.1.3 и 7.12.0 соответственно, из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты во входные данные пользователя, которые будут выполняться на панели управления администратора.
CVE-2024-13640Плагин Print Invoice & Delivery Notes для WooCommerce для WordPress уязвим к раскрытию конфиденциальной информации во всех версиях до и включая 5.4.1 через директорию 'wcdn/invoice'. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные, хранящиеся небезопасно в директории /wp-content/uploads/wcdn/invoice, которая может содержать файлы счетов, если включена настройка вложений электронной почты.
CVE-2025-63024Уязвимость с удачей разрешения в датах поставки заказа на tychesoftwares Order-delivery-date-for-woom коммерция позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема влияет на дату доставки заказа для WooCommerce: от n/a до <= 4.3.1.