nvd,anchore_overrides
Wordpress
Уязвимости
635
Эксплуатируемые
1
Критический
36
Высокий
136
Топ продуктов
Wordpress588Wordpress Mu10Gutenberg3Sniplets Plugin3Blix2Health Check \& Troubleshooting2Math Comment Spam Protection Plugin2Pay-with-tweet2Wassup Plugin2Adserve1Alert Before You Post1Blixed1Blixkrieg1Blogger Importer1Captcha1Cryptographp1Dean Logan Wp-people Plugin1Debug Bar1Download Monitor Plugin1Fcchat Widget1
Топ уязвимостей
CVE-2012-4874Неуказанная уязвимость в Another WordPress Classifieds Plugin до 2.0 для WordPress имеет неизвестное воздействие и векторы атак, связанные с «загрузкой изображений».
CVE-2012-4033Множественные неуказанные уязвимости в плагине Zingiri Web Shop версий до 2.4.0 для WordPress имеют неизвестное воздействие и векторы атак.
CVE-2012-3576Уязвимость неограниченной загрузки файлов в php/upload.php в плагине wpStoreCart до версии 2.5.30 для WordPress позволяет удаленным злоумышленникам выполнять произвольный код, загружая файл с исполняемым расширением, а затем обращаясь к нему через прямой запрос к файлу в uploads/wpstorecart.
CVE-2012-3575Уязвимость неограниченной загрузки файлов в uploader.php в плагине RBX Gallery 2.1 для WordPress позволяет удаленным злоумышленникам выполнять произвольный код, загружая файл с исполняемым расширением, а затем обращаясь к нему через прямой запрос к файлу в uploads/rbxslider.
CVE-2012-2400Неуказанная уязвимость в wp-includes/js/swfobject.js в WordPress до версии 3.3.2 имеет неизвестное воздействие и векторы атак.
CVE-2012-2399Уязвимость межсайтового скриптинга (XSS) в swfupload.swf в SWFupload 2.2.0.1 и более ранних версиях, используемая в WordPress до 3.5.2, TinyMCE Image Manager 1.1 и более ранних версиях, и других продуктах, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр buttonText, что является другой уязвимостью, чем CVE-2012-3414.
CVE-2011-5254Неуказанная уязвимость в плагине Connections до версии 0.7.1.6 для WordPress имеет неизвестное воздействие и векторы атак.
CVE-2011-3125Неуказанная уязвимость в WordPress 3.1 до 3.1.3 и 3.2 до Beta 2 имеет неизвестное воздействие и векторы атак, связанные с "Различными усилениями безопасности".
CVE-2011-3122Неуказанная уязвимость в WordPress 3.1 до 3.1.3 и 3.2 до Beta 2 имеет неизвестное воздействие и векторы атак, связанные с "безопасностью мультимедиа".
CVE-2009-2853Wordpress до версии 2.8.3 позволяет удаленным злоумышленникам получать привилегии через прямой запрос к (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-form-comment.php, (5) edit-link-category-form.php, (6) edit-link-form.php, (7) edit-page-form.php и (8) edit-tag-form.php в wp-admin/.
CVE-2008-6767wp-admin/upgrade.php в WordPress, вероятно, 2.6.x, позволяет удаленным злоумышленникам обновить приложение и, возможно, вызвать отказ в обслуживании (отключение приложения) через прямой запрос.
CVE-2008-3362Уязвимость неограниченной загрузки файлов в upload.php в модуле Giulio Ganci Wp Downloads Manager 0.2 для WordPress позволяет удаленным злоумышленникам выполнять произвольный код, загружая файл с исполняемым расширением через параметр upfile, а затем получая к нему доступ через прямой запрос к файлу в wp-content/plugins/downloads-manager/upload/.
CVE-2006-4028Множественные неуказанные уязвимости в WordPress до 2.0.4 имеют неизвестное воздействие и векторы удаленной атаки. ПРИМЕЧАНИЕ: из-за отсутствия подробностей неясно, чем эти проблемы отличаются от CVE-2006-3389 и CVE-2006-3390, хотя вероятно, что 2.0.4 устраняет неуказанную проблему, связанную с функциональностью "Любой может зарегистрироваться" (регистрация пользователей для гостей).
CVE-2024-31211WordPress — это открытая издательская платформа для Интернета. Десериализация экземпляров класса `WP_HTML_Token` позволяет выполнять код через его магический метод `__destruct()`. Эта проблема была исправлена в WordPress 6.4.2 6 декабря 2023 г. Версии до 6.4.0 не затрагиваются.
CVE-2021-44223WordPress до версии 5.8 не поддерживает заголовок плагина Update URI. Это облегчает удаленным злоумышленникам выполнение произвольного кода посредством атаки на цепочку поставок против установок WordPress, которые используют любой плагин, для которого слаг соответствует ограничениям именования каталога плагинов WordPress.org, но еще не присутствует в этом каталоге.
CVE-2021-29476Requests — это HTTP-библиотека, написанная на PHP. Requests неправильно обрабатывает десериализацию в FilteredIterator. Проблема была исправлена, и пользователям `Requests` 1.6.0, 1.6.1 и 1.7.0 следует обновить версию до 1.8.0.
CVE-2020-36326PHPMailer 6.1.8 до 6.4.0 допускает внедрение объектов через десериализацию Phar через addAttachment с UNC-путем. ПРИМЕЧАНИЕ: это похоже на CVE-2018-19296, но возникло из-за того, что 6.1.8 исправил проблему с функциональностью, из-за которой UNC-пути всегда считались нечитаемыми PHPMailer, даже в безопасных контекстах. В качестве непреднамеренного побочного эффекта это исправление устранило код, блокирующий эксплуатацию addAttachment.
CVE-2020-28037is_blog_installed в wp-includes/functions.php в WordPress до версии 5.5.2 неправильно определяет, установлен ли WordPress, что может позволить злоумышленнику выполнить новую установку, что приведет к удаленному выполнению кода (а также к отказу в обслуживании для старой установки).
CVE-2020-28036wp-includes/class-wp-xmlrpc-server.php в WordPress до версии 5.5.2 позволяет злоумышленникам получать привилегии, используя XML-RPC для комментирования сообщения.
CVE-2020-28035WordPress до версии 5.5.2 позволяет злоумышленникам получать привилегии через XML-RPC.
CVE-2020-28032WordPress до версии 5.5.2 неправильно обрабатывает запросы десериализации в wp-includes/Requests/Utility/FilteredIterator.php.
CVE-2019-20041wp_kses_bad_protocol в wp-includes/kses.php в WordPress до 5.3.1 неправильно обрабатывает HTML5 colon named entity, что позволяет злоумышленникам обходить очистку ввода, как показано на примере подстроки javascript\u0026colon;.
CVE-2019-17670WordPress до версии 5.2.4 имеет уязвимость Server Side Request Forgery (SSRF), поскольку пути Windows неправильно обрабатываются во время определенной проверки относительных URL.
CVE-2019-17669WordPress до версии 5.2.4 имеет уязвимость Server Side Request Forgery (SSRF), поскольку проверка URL не учитывает интерпретацию имени как последовательности шестнадцатеричных символов.
CVE-2018-20148В WordPress до версий 4.9.9 и 5.x до 5.0.1 участники могли проводить атаки с внедрением PHP-объектов через специально созданные метаданные в вызове wp.getMediaItem XMLRPC. Это вызвано неправильной обработкой сериализованных данных по URL-адресам phar:// в функции wp_get_attachment_thumb_file в wp-includes/post.php.