V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Uncannyowl

Уязвимости
25
Эксплуатируемые
0
Критический
3
Высокий
5

Топ уязвимостей

CVE-2025-48133Уязвимость Missing Authorization в Uncanny Owl Uncanny Automator позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Uncanny Automator: с n/a до версии 6.4.0.2. Чтобы устранить эту уязвимость, рекомендуется обновить систему до версии 6.5.0 или более поздней. Уязвимость связана с отсутствием проверки авторизации, что может привести к выполнению неавторизованных действий. [1] Источники: - [1] https://patchstack.com/database/wordpress/plugin/uncanny-automator/vulnerability/wordpress-uncanny-automator-6-5-0-1-broken-access-control-vulnerability?_s_id=cve
CVE-2024-37119Уязвимость Missing Authorization в Uncanny Owl Uncanny Automator Pro позволяет использовать некорректно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Uncanny Automator Pro: от n/a до 5.3.0.0.
CVE-2025-3623Плагин Uncanny Automator для WordPress уязвим к внедрению PHP-объекта во всех версиях до 6.4.0.1 включительно посредством десериализации недоверенных входных данных в функции automator_api_decode_message(). Это позволяет неавторизованным пользователям внедрить PHP-объект. Наличие цепочки POP позволяет злоумышленникам удалять произвольные файлы [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/00bcfd8f-9785-449a-a0ea-16e2583d684a?source=cve - [2] https://wordpress.org/plugins/uncanny-automator/#developers - [3] https://plugins.trac.wordpress.org/browser/uncanny-automator/trunk/src/core/lib/helpers/class-automator-recipe-helpers.php#L540 - [4] https://plugins.trac.wordpress.org/changeset/3276577/uncanny-automator/trunk/src/core/lib/helpers/class-automator-recipe-helpers.php - [5] https://automatorplugin.com/knowledge-base/uncanny-automator-changelog/#6-4-0-2-2025-04-18
CVE-2025-2075Плагин Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder для WordPress уязвим к эскалации привилегий во всех версиях до и включая 6.3.0.2. Это связано с отсутствием надлежащих проверок прав для функций add_role() и user_role(), выполняемых через функцию validate_rest_call(). Это делает возможным для неаутентифицированных злоумышленников установить роль произвольных пользователей на администратора, предоставляя полный доступ к сайту, хотя эскалация привилегий требует активной учетной записи на сайте, поэтому это считается аутентифицированной эскалацией привилегий.
CVE-2024-37118Уязвимость Cross Site Request Forgery (CSRF) в Uncanny Owl Uncanny Automator Pro. Эта проблема затрагивает Uncanny Automator Pro: от n/a до 5.3.
CVE-2023-23714Cross-Site Request Forgery (CSRF) уязвимость в плагине Uncanny Owl Uncanny Toolkit for LearnDash <= 3.6.4.1 версий.
CVE-2026-2269Uncanny Automator - Easy Automation, Integration, Webhooks & Workflow Builder Plugin для WordPress уязвим для подделки запросов на серверной стороне во всех версиях до 7.0.0.3 через функцию download_url(). Это позволяет аутентифицированным злоумышленникам с доступом на уровне администратора и выше делать веб-запросы в произвольные местоположения, происходящие из веб-приложения, и могут использоваться для запроса и изменения информации из внутренних служб. Кроме того, плагин хранит содержимое удаленных файлов на сервере, которое можно использовать для загрузки произвольных файлов на сервере затронутого сайта, что может сделать возможным удаленное выполнение кода.
CVE-2024-8349Плагин Uncanny Groups for LearnDash для WordPress уязвим для повышения привилегий во всех версиях до 6.1.0.1 включительно. Это связано с тем, что плагин неправильно ограничивает, каких пользователей может редактировать руководитель группы. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа «руководитель группы» и выше изменять адреса электронной почты учетной записи администратора, что впоследствии может привести к доступу к учетной записи администратора.
CVE-2025-57988Неправильная нейтрализация ввода во время уязвимости Web-Peration («Cross-site Scripting») в Uncanny Owl Uncanny Toolkit для LearnDash uncanny-learndash-toolkit позволяет хранить XSS.Эта проблема затрагивает Uncanny Toolkit для LearnDash: от n/a до <= 3.7.0.3.
CVE-2025-48080Уязвимость неправильной нейтрализации ввода во время генерации веб-страницы ('межсайтовый скриптинг') в Uncanny Owl Uncanny Toolkit for LearnDash позволяет осуществить хранимый XSS. Эта проблема затрагивает Uncanny Toolkit for LearnDash: от n/a до 3.7.0.2. Злоумышленник может внедрять вредоносные скрипты на веб-сайте, которые будут выполнены при посещении сайта пользователями. Рекомендуется обновить версию до 3.7.0.3 или позже, чтобы устранить уязвимость [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/uncanny-learndash-toolkit/vulnerability/wordpress-uncanny-toolkit-for-learndash-3-7-0-2-cross-site-scripting-xss-vulnerability?_s_id=cve
CVE-2025-22268Неправильное нейтрализация ввода во время уязвимости генерации веб-страниц («Cross-site Scripting») в Uncanny Owl Uncanny Toolkit для LearnDash сверхъестественный инструментарий позволяет хранить XSS.Эта проблема затрагивает Uncanny Toolkit для LearnDash: от n/a до <= 3.7.0.1.
CVE-2023-34019Уязвимость, связанная с отсутствием авторизации, в Uncanny Owl Uncanny Toolkit for LearnDash позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Uncanny Toolkit for LearnDash: от n/a до 3.6.4.3.
CVE-2025-15522Uncanny Automator - Easy Automation, Integration, Webhooks & Workflow Builder Plugin Плагин для WordPress уязвим для Хранения Cross-Site Scripting через automator_discord_user_mapping во всех версиях до 6.10.0.2 из-за недостаточной дезинфекции ввода и выхода на параметре проверенного сообщения. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь с проверенной учетной записью Discord получает доступ к инъекционной странице.
CVE-2024-37117Уязвимость Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') в Uncanny Owl Uncanny Automator Pro позволяет осуществить Reflected XSS. Эта проблема затрагивает Uncanny Automator Pro: от n/a до 5.3.
CVE-2023-34020Перенаправление URL-адреса на ненадежный сайт (открытое перенаправление) в Uncanny Owl Uncanny Toolkit for LearnDash. Эта проблема затрагивает Uncanny Toolkit for LearnDash: от n/a до 3.6.4.3.
CVE-2020-9439Множественные уязвимости межсайтового скриптинга (XSS) в Uncanny Owl Tin Canny LearnDash Reporting до версии 3.4.4 позволяют аутентифицированным удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр GET search_key в TinCan_Content_List_Table.php, параметр GET message в licensing.php, параметр tc_filter_group в reporting-admin-menu.php, параметр tc_filter_user в reporting-admin-menu.php, параметр tc_filter_course в reporting-admin-menu.php, параметр tc_filter_lesson в reporting-admin-menu.php, параметр tc_filter_module в reporting-admin-menu.php, параметр tc_filter_action в reporting-admin-menu.php, параметр tc_filter_data_range в reporting-admin-menu.php или параметр tc_filter_data_range_last в reporting-admin-menu.php.
CVE-2020-35650Несколько уязвимостей межсайтового скриптинга (XSS) в Uncanny Groups для LearnDash до версии v3.7 позволяют аутентифицированным удаленным злоумышленникам внедрять произвольный JavaScript или HTML через POST-параметр ulgm_code_redeem в user-code-redemption.php, POST-параметр ulgm_user_first в user-registration-form.php, POST-параметр ulgm_user_last в user-registration-form.php, POST-параметр ulgm_user_email в user-registration-form.php, POST-параметр ulgm_code_registration в user-registration-form.php, POST-параметр ulgm_terms_conditions в user-registration-form.php, POST-параметр _ulgm_total_seats в frontend-uo_groups_buy_courses.php, POST-параметр uncanny_group_signup_user_first в group-registration-form.php, POST-параметр uncanny_group_signup_user_last в group-registration-form.php, POST-параметр uncanny_group_signup_user_login в group-registration-form.php, POST-параметр uncanny_group_signup_user_email в group-registration-form.php, GET-параметр success-invited в frontend-uo_groups.php, GET-параметр bulk-errors в frontend-uo_groups.php или GET-параметр message в frontend-uo_groups.php.
CVE-2023-52151Раскрытие конфиденциальной информации неавторизованному субъекту уязвимость в Uncanny Automator, Uncanny Owl Uncanny Automator – Automate everything with the #1 no-code automation and integration plugin. Эта проблема затрагивает Uncanny Automator – Automate everything with the #1 no-code automation and integration plugin: от n/a до 5.1.0.2.
CVE-2025-66056Воздействие чувствительной системной информации на уязвимость несанкционированной сферы управления в сверхъестественной сове сверхъестественный автоматизатор позволяет извлекать встроенные чувствительные данные. Эта проблема затрагивает Uncanny Automator: от n/a до < 6.10.0.
CVE-2025-58193Уязвимость Missing Authorization в Uncanny Owl Uncanny Automator позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Это влияет на Uncanny Automator: от n/a до версии 6.7.0.1 [1]. Решение: Обновите до версии 6.8.0 или более поздней. Источники: - [1] https://patchstack.com/database/wordpress/plugin/uncanny-automator/vulnerability/wordpress-uncanny-automator-plugin-6-7-0-1-broken-access-control-vulnerability?_s_id=cve
CVE-2025-4520Плагин Uncanny Automator для WordPress уязвим к неавторизованному изменению данных из-за отсутствия проверки прав доступа к нескольким функциям AJAX в версиях вплоть до 6.4.0.2 включительно. Это позволяет аутентифицированным злоумышленникам с правами подписчика или выше обновлять настройки плагина. В файле keap-helpers.php выявлены потенциальные проблемы с безопасностью, связанные с функциями аутентификации и обработки запросов к API [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/db5b5fa1-67b5-4103-93b0-682200199a71?source=cve - [2] https://plugins.trac.wordpress.org/browser/uncanny-automator/tags/6.4.0.2/src/integrations/keap/helpers/keap-helpers.php#L99
CVE-2024-13838Плагин Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder для WordPress уязвим к подделке запросов на стороне сервера во всех версиях до и включая 6.2 через метод 'call_webhook' класса Automator_Send_Webhook. Это позволяет аутентифицированным злоумышленникам с доступом уровня администратора и выше делать веб-запросы на произвольные местоположения из веб-приложения, что может быть использовано для запроса и изменения информации из внутренних сервисов.
CVE-2024-8350Плагин Uncanny Groups for LearnDash для WordPress уязвим для добавления пользователей в группу из-за отсутствия проверки возможностей для конечной точки REST API /wp-json/ulgm_management/v1/add_user/ во всех версиях до 6.1.0.1 включительно. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа «руководитель группы» и выше добавлять пользователей в свою группу, что в конечном итоге позволяет им использовать CVE-2024-8349 и получить права администратора на сайте.
CVE-2026-56057CVE-2026-56057
CVE-2026-56031CVE-2026-56031
Открыть в каталоге с фильтром по вендору →