V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Veronalabs

Уязвимости
40
Эксплуатируемые
0
Критический
3
Высокий
15

Топ продуктов

Топ уязвимостей

CVE-2024-43331Уязвимость Missing Authorization в VeronaLabs WP SMS. Эта проблема затрагивает WP SMS: от n/a до 6.9.3.
CVE-2019-13275В плагине VeronaLabs wp-statistics до версии 12.6.7 для WordPress обнаружена проблема. Конечная точка v1/hit API, когда включена не стандартная настройка «использовать плагин кеширования», уязвима для не прошедшей проверку подлинности слепой SQL-инъекции.
CVE-2017-18515Плагин wp-statistics версий до 12.0.8 для WordPress имеет SQL-инъекцию.
CVE-2024-30454Уязвимость Cross-Site Request Forgery (CSRF) в VeronaLabs WP SMS. Эта проблема затрагивает WP SMS: от n/a до 6.6.2.
CVE-2023-0955Плагин WP Statistics для WordPress до версии 14.0 не экранирует параметр, что может позволить аутентифицированным пользователям выполнять атаки SQL Injection. По умолчанию затронутая функция доступна пользователям с правом manage_options (admin+), однако плагин имеет настройки, позволяющие пользователям с низкими привилегиями также получить к ней доступ.
CVE-2022-4230WordPress-плагин WP Statistics до версии 13.2.9 не экранирует параметр, что может позволить аутентифицированным пользователям выполнять атаки SQL-инъекций. По умолчанию затронутая функция доступна пользователям с возможностью manage_options (admin+), однако плагин имеет настройки, позволяющие пользователям с низкими привилегиями также получать к ней доступ.
CVE-2022-38074Уязвимость SQL-инъекции в плагине VeronaLabs WP Statistics <= 13.2.10 версий.
CVE-2026-28136Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command ('SQL Injection) в VeronaLabs WP SMS wp-sms, позволяет впрыскировать SQL. Эта проблема затрагивает WP SMS: от n/a до <= 6.9.12.
CVE-2023-27447Раскрытие конфиденциальной информации неавторизованному субъекту в VeronaLabs WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc. Эта проблема затрагивает WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc: от n/a до 6.0.4.
CVE-2022-25149Плагин WP Statistics WordPress подвержен SQL-инъекции из-за недостаточного экранирования и параметризации параметра IP, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-25148Плагин WP Statistics WordPress подвержен SQL-инъекции из-за недостаточного экранирования и параметризации параметра current_page_id, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-0651Плагин WP Statistics WordPress уязвим для SQL-инъекций из-за недостаточного экранирования и параметризации параметра current_page_type, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-0513Плагин WP Statistics для WordPress уязвим к SQL-инъекции из-за недостаточного экранирования и параметризации параметра exclusion_reason, найденного в файле ~/includes/class-wp-statistics-exclusion.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации, в версиях до и включая 13.1.4. Для этого необходимо включить опцию "Запись исключений" на уязвимом сайте.
CVE-2021-24340WordPress плагин WP Statistics версий до 13.0.8 полагался на использование функции WordPress esc_sql() для поля, не ограниченного кавычками, и предварительно не подготавливал запрос. Кроме того, страница, которая должна была быть доступна только администратору, была также доступна любому посетителю, включая неаутентифицированных.
CVE-2026-5231Плагин WP Statistics для WordPress уязвим для Хранимого межсайтового сценария через параметр 'utm_source' во всех версиях до, в том числе, 14.16.4. Это связано с недостаточной дезинфекцией ввода и выходом из эксплуатации. Реферальный парсер плагина копирует необработанное значение utm_source в поле source_name, когда домен канала wildcard совпадает, и рендерер диаграмм позже вставляет это значение в разметку легенды через innerHTML, не убегая. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на админ-страницах, которые будут выполняться всякий раз, когда администратор получает доступ к обзору рефералов или страницам аналитики социальных сетей.
CVE-2025-9816Плагин WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin для WordPress уязвим к Stored Cross-Site Scripting через заголовок User-Agent во всех версиях до 14.5.4 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницах, которые будут выполнены при доступе пользователя к зараженной странице [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/d8351204-da6d-443a-98b5-0608bfb1e9d0?source=cve - [2] https://plugins.trac.wordpress.org/browser/wp-statistics/tags/14.15.3/includes/admin/templates/pages/devices/models.php#L31
CVE-2024-2194Плагин WP Statistics для WordPress уязвим для Stored Cross-Site Scripting через параметр поиска URL во всех версиях до 14.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2026-48839Неправильное нейтрализование ввода во время генерации веб-страниц («Cross-site Scripting») в VeronaLabs WP Statistics позволяет на основе DOM XSS. Эта проблема затрагивает статистику WP: от n/д до 14.16.6.
CVE-2026-40790Абонентка Sensitive Data Exposure в WP SMS <= версии 7.2.1.
CVE-2026-3488Плагин WP Statistics для WordPress уязвим для Missing Authorization во всех версиях до 14.16.4. Это связано с отсутствующими проверками возможностей нескольких обработчиков AJAX, включая `wp_statistics_get_filters`, `wp_statistics_getPrivacyStatus`, `wp_statistics_updatePrivacyStatus` и `wp_statistics_miss_notices`. Эти конечные точки только проверяют `wp_rest` nonce через `check_ajax_referer()` только, но не обеспечивают никаких проверок возможностей, таких как `current_user_can()` или собственный `User:Access()` метод плагина. Поскольку awp_rest` nonce доступен для всех аутентифицированных пользователей WordPress, это позволяет аутентифицированным злоумышленникам с доступом к конфиденциальным аналитическим данным (идентификаторы пользователей, электронные письма, данные отслеживания посетителей), извлекать и изменять статус соответствия аудита конфиденциальности и отклонять административные уведомления.
CVE-2021-4333Плагин WP Statistics для WordPress уязвим для межсайтовой подделки запросов в версиях до 13.1.1 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции view(). Это позволяет не прошедшим проверку подлинности злоумышленникам активировать и деактивировать произвольные плагины с помощью поддельного запроса, если они смогут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку.
CVE-2024-24881Уязвимость Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') в VeronaLabs WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc позволяет осуществить Reflected XSS. Эта проблема затрагивает WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc: от n/a до 6.5.2.
CVE-2023-32742Неавторизованная отраженная уязвимость межсайтового скриптинга (XSS) в плагине VeronaLabs WP SMS версий <= 6.1.4.
CVE-2022-27231В версиях WP Statistics до 13.2.0 существует уязвимость межсайтового скриптинга, поскольку он неправильно обрабатывает параметр платформы. Используя эту уязвимость, произвольный скрипт может быть выполнен в веб-браузере пользователя, который входит на веб-сайт с использованием продукта.
CVE-2022-25307Плагин WP Statistics для WordPress подвержен уязвимости межсайтового скриптинга (XSS) из-за недостаточной экранированности и очистки параметра platform, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам внедрять произвольные веб-скрипты на несколько страниц, которые выполняются при просмотре администраторами статистики сайтов. Это касается версий до и включая 13.1.5.
Открыть в каталоге с фильтром по вендору →