nvd,anchore_overrides
Unlimited-elements
Уязвимости
36
Эксплуатируемые
0
Критический
0
Высокий
17
Топ продуктов
Топ уязвимостей
CVE-2024-6166Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для SQL-инъекций, основанных на времени, через параметр «addons_order» во всех версиях до 1.5.112 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет злоумышленникам, прошедшим аутентификацию, с уровнем доступа Contributor и выше и получившим от администратора разрешения на редактирование настроек плагина, добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-5329Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для слепой SQL-инъекции через параметр 'data[addonID]' во всех версиях до 1.5.109 включительно из-за недостаточного экранирования предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-4779Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для SQL-инъекций через параметр «data[post_ids][0]» во всех версиях до 1.5.107 включительно из-за недостаточной защиты от экранирования введенных пользователем параметров и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с уровнем доступа contributor и выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2024-35674Уязвимость Missing Authorization в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates). Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.109.
CVE-2024-3055Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для time-based SQL Injection через параметр ‘id’ во всех версиях до 1.5.102 включительно из-за недостаточного экранирования предоставленного пользователем параметра и недостаточной подготовки существующего SQL-запроса. Это позволяет прошедшим проверку подлинности злоумышленникам с доступом участника или выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые могут быть использованы для извлечения конфиденциальной информации из базы данных.
CVE-2024-1710Плагин Addon Library для WordPress подвержен несанкционированному доступу к данным из-за отсутствия проверки прав доступа к действию функции onAjaxAction во всех версиях до 1.3.76 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже подписчика выполнять несколько несанкционированных действий, включая загрузку произвольных файлов.
CVE-2023-6743Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress подвержен удаленному выполнению кода во всех версиях до 1.5.89 включительно через функциональность импорта шаблонов. Это позволяет аутентифицированным злоумышленникам с доступом уровня contributor и выше выполнять код на сервере.
CVE-2023-3295Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файлов в функциональности файлового менеджера в версиях до 1.5.66 включительно. Это позволяет прошедшим проверку подлинности злоумышленникам с правами участника и выше загружать произвольные файлы на сервер уязвимого сайта, что может сделать возможным удаленное выполнение кода. Проблема была частично исправлена в версии 1.5.66 и полностью исправлена в версии 1.5.67. CVE-2023-31231, по-видимому, является дубликатом этой проблемы.
CVE-2023-31090Неограниченная загрузка файла с опасным типом уязвимости в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) позволяет загрузить веб-оболочку на веб-сервер. Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.60.
CVE-2023-31080Уязвимость, связанная с отсутствием авторизации, в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates). Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.65.
CVE-2026-48837Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command («SQL Injection») в неограниченных элементах для элементатор, позволяет впрыскировать слепой SQL.
Эта проблема затрагивает неограниченное количество элементов для элемента: от n/a до 2.0.8.
CVE-2026-4659Плагин Unlimited Elements for Elementor для WordPress уязвим для Произвольного файла, читаемого через параметр URL-адреса Repeater JSON/CSV в версиях до 2,06, в том числе. Это связано с недостаточной дезинфекцией трапа в функциях URLtoRelative() и urlToPath() в сочетании с возможностью обеспечения вывода отладки в настройках виджетов. Функция URLtoRelative() выполняет только простую замену строки для удаления базового URL сайта без дезинфекции последовательностей траста (../), а функция CleanPath() нормализует только сепараторы каталогов без удаления компонентов обхода. Это позволяет злоумышленнику предоставить такой URL, как http://site.com/.././././././././././././././././././././././././././././etc/passwd, свяжется с базовым путем и в конечном итоге решен /etc/passwd. Это позволяет аутентифицированным злоумышленникам с доступом на уровне авторов и выше считывать произвольные локальные файлы с хоста WordPress, включая конфиденциальные файлы, такие как wp-config.
CVE-2026-2724Плагин Unlimited Elements for Elementor для WordPress уязвим для хранения кросс-сайта через поля ввода формы во всех версиях до 2,0,5 и включая. Это связано с недостаточной дезинфекцией ввода и выходом, вытекающим из данных представления форм, отображаемых в представлении admin Form Entries Trash. Это позволяет неаутентичным злоумышленникам вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда администратор просматривает записи разгромленной формы.
CVE-2025-13692Плагин Unlimited Elements For Elementor для WordPress уязвим для хранения межсайтовых сценариев через SVG File во всех версиях до 2,0 из-за недостаточной дезинфекции ввода и выхода вывода. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к файлу SVG. Форма с полем загрузки файлов должна быть создана с премиальной версией плагина, чтобы использовать уязвимость. Однако, как только форма существует, уязвимость может быть использована, даже если премиум-версия деактивирована и/или удалена.
CVE-2024-49271Некорректная нейтрализация специальных элементов, используемых в механизме шаблонов, в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) допускает: Command Injection. Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): версии от n/a до 1.5.121.
CVE-2024-2662Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для внедрения команд во всех версиях до 1.5.102 включительно. Это связано с недостаточной фильтрацией атрибутов шаблона во время создания HTML для пользовательских виджетов. Это позволяет аутентифицированным злоумышленникам с правами администратора и выше выполнять произвольные команды на сервере.
CVE-2023-33930Неограниченная загрузка файла с опасным типом в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) допускает внедрение кода. Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.66.
CVE-2026-5486Плагин Unlimited Elements for Elementor для WordPress уязвим для SQL Injection через параметр 'data[filter_search]' в действии get_cat_addons AJAX в версиях до 2.0.7 включительно. Это связано с недостаточной дезинфекцией ввода и использованием устаревших функций убегания в сочетании с прямой концентрацией струн в конструкции запросов SQL. Уязвимость усугубляется тем, что функция нормализацииAxInputData() вызывает стрипслэшейс() на всем пользовательском вводе, устраняя защиту, обеспечиваемую функцией WordPress wp_magic_quotes(). Впоследствии параметр filter_search удаляется с помощью депарифицированной wpdb->_escape() функции, а затем непосредственно сводится в ТОО, ТА, не используя подготовленные заявления. Это позволяет аутентифицированным злоумышленникам с доступом на уровне Участника и выше (которые могут получить действующую ноцию через редактор Elementor), вводить произвольные команды SQL и извлекать конфиденциальную информацию из базы данных.
CVE-2023-31231Неограниченная загрузка файла с уязвимостью опасного типа в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates). Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.65.
CVE-2025-8603Плагин Unlimited Elements For Elementor для WordPress содержит уязвимость Stored Cross-Site Scripting через несколько виджетов во всех версиях до 1.5.148 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к зараженной странице. Рекомендуется обновить плагин до версии 1.5.149 или позднее [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/40f0510a-06e3-40a9-9b93-0296f524f94a?source=cve
CVE-2022-4974Freemius SDK, используемый сотнями разработчиков плагинов и тем WordPress, был уязвим для межсайтовой подделки запросов и раскрытия информации из-за отсутствия проверки возможностей и защиты nonce в функциях _get_debug_log, _get_db_option и _set_db_option в версиях до 2.4.2 включительно. Любой плагин или тема WordPress, использующие версию Freemius ниже 2.4.3, уязвимы.
CVE-2024-45454Уязвимость Improper Neutralization of Input During Web Page Generation (XSS или 'Cross-site Scripting') в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) позволяет осуществить Reflected XSS. Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.121.
CVE-2024-3547Плагин Unlimited Elements For Elementor (Free Widgets, Addons, Templates) для WordPress уязвим для отраженного межсайтового скриптинга через параметр «google_connect_error» во всех версиях до 1.5.102 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например щелкнуть ссылку.
CVE-2024-29792Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) уязвимость в Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) позволяет отраженный XSS. Эта проблема затрагивает Unlimited Elements For Elementor (Free Widgets, Addons, Templates): от n/a до 1.5.93.
CVE-2024-13362Несколько плагинов и/или тем для WordPress уязвимы для отражаемых сценариев по кросс-сайту по параметру url в различных версиях из-за недостаточной санации ввода и выхода. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на страницы, которые выполняются, если они могут успешно обмануть пользователя в выполнении действия, такого как нажатие на ссылку.