nvd,anchore_overrides
Wpexperts
Уязвимости
79
Эксплуатируемые
0
Критический
5
Высокий
24
Топ продуктов
Post Smtp27Mycred10New User Approve9Wp Multi Store Locator6License Manager For Woocommerce5Password Protected5Post Smtp Mailer5Wc Shop Sync3Wp Contact Slider3All In One Login2Givewp Square2Rocket Maintenance Mode \& Coming Soon Page2User Avatar-reloaded2Wholesale For Woocommerce2Email Templates1Email Templates Customizer And Designer1Wp Pdf Generator1Wp Secure Maintenance1
Топ уязвимостей
CVE-2025-11833The Post SMTP – Полный плагин SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App для WordPress уязвим для несанкционированного доступа к данным из-за отсутствующей проверки возможностей функции __construct во всех версиях до 3.6.0. Это позволяет неаутентифицированным злоумышленникам читать произвольные зарегистрированные электронные письма, отправленные через плагин Post SMTP, включая электронные письма с сбросом пароля, содержащие ссылки на сброс пароля, которые могут привести к захвату учетной записи.
CVE-2023-6875Плагин POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP для WordPress уязвим к несанкционированному доступу к данным и их модификации из-за проблемы с преобразованием типов на конечной точке REST connect-app во всех версиях до и включая 2.8.7. Это позволяет неаутентифицированным злоумышленникам сбрасывать API-ключ, используемый для аутентификации в почтовом клиенте, и просматривать журналы, включая письма для сброса пароля, что позволяет захватить сайт.
CVE-2023-52233Отсутствует авторизация в Post SMTP Post SMTP Mailer/Email Log. Эта проблема затрагивает Post SMTP Mailer/Email Log: от n/a до 2.8.6.
CVE-2025-28898Неправильная нейтрализация специальных элементов, используемых в SQL-командах ('SQL-инъекция') в NotFound WP Multistore Locator позволяет проводить SQL-инъекцию. Эта проблема затрагивает WP Multistore Locator: от n/a до 2.5.2.
CVE-2025-26974Неправильная нейтрализация специальных элементов, используемых в SQL-командах ('SQL-инъекция') в WPExperts.io WP Multi Store Locator, позволяет выполнять слепые SQL-инъекции. Эта проблема затрагивает WP Multi Store Locator: от n/a до 2.5.1.
CVE-2025-24000Уязвимость обхода аутентификации с использованием альтернативного пути или канала в WPExperts Post SMTP позволяет обойти аутентификацию. Эта проблема затрагивает Post SMTP версии от n/a до 3.2.0 [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/post-smtp/vulnerability/wordpress-post-smtp-3-2-0-privilege-escalation-vulnerability?_s_id=cve
CVE-2025-22800Отсутствие авторизации в Post SMTP Post SMTP позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает Post SMTP: от n/a до 2.9.11.
CVE-2023-50902Уязвимость Cross-Site Request Forgery (CSRF) в WPExpertsio New User Approve. Эта проблема затрагивает New User Approve: версии от n/a до 2.5.1.
CVE-2023-35096Уязвимость межсайтовой подделки запросов (CSRF) в плагине myCred <= 2.5 версий.
CVE-2023-35038Уязвимость межсайтовой подделки запросов (CSRF) в плагине wpexperts.Io WP PDF Generator версий <= 1.2.2.
CVE-2023-3179Плагин POST SMTP Mailer WordPress до версии 2.5.7 не имеет надлежащих проверок CSRF в некоторых AJAX-действиях, что может позволить злоумышленникам заставить зарегистрированных пользователей с возможностью manage_postman_smtp повторно отправить электронное письмо на произвольный адрес (например, электронное письмо для сброса пароля может быть повторно отправлено на контролируемый злоумышленником адрес электронной почты, что позволит им захватить учетную запись).
CVE-2022-47181Уязвимость межсайтовой подделки запросов (CSRF) в wpexpertsio Email Templates Customizer и Designer для письма WordPress и WooCommerce email-templates позволяет межсайтовую подделку запросов. Эта проблема затрагивает Email Templates Customizer и Designer для WordPress и WooCommerce: от n/a до 1.4.2.
CVE-2021-24755Плагин myCred WordPress до версии 2.3 не проверяет и не экранирует параметр fields перед использованием его в операторе SQL, что приводит к SQL-инъекции, используемой любым аутентифицированным пользователем.
CVE-2019-25150Плагин Email Templates для WordPress подвержен HTML-инъекциям в версиях до 1.3 включительно. Это позволяет злоумышленникам представлять фишинговые формы или проводить атаки с использованием межсайтовой подделки запросов против администраторов сайта.
CVE-2025-69063Отсутющая уязвимость авторизации в Saad Iqbal Новое утверждение пользователя Утверждение новым пользователям позволяет эксплуатировать Неправильные Уровни безопасности управления доступом. Эта проблема затрагивает Новое утверждение пользователя: от n/a до <= 3.2.0.
CVE-2026-45211Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL Command ('SQL Injection') в Saad Iqbal APIExperts Square для WooCommerce woosquare, позволяет слепой SQL Injection.Эта проблема затрагивает APIExperts Square для WooCommerce: от n/a до <= 4.7.1.
CVE-2024-47338Неправильная нейтрализация специальных элементов, используемых в SQL-команде («SQL-инъекция»), уязвимость в WPExpertsio WPExperts Square For GiveWP позволяет использовать SQL-инъекцию. Эта проблема затрагивает WPExperts Square For GiveWP: от n/a до 1.3.
CVE-2025-58788Уязвимость неправильной нейтрализации специальных элементов, используемых в команде SQL ("SQL-инъекция") в License Manager for WooCommerce от Saad Iqbal, позволяет осуществить слепую SQL-инъекцию. Эта проблема затрагивает License Manager for WooCommerce версий до 3.0.12 включительно. Уязвимость имеет низкий приоритет эксплуатации и связана с возможностью прямого взаимодействия злоумышленника с базой данных, включая кражу информации [1]. Оценка CVSS составляет 7,6, что указывает на низкую сложность атаки, но потенциально высокий уровень воздействия. Уязвимость была обнаружена Que Thanh Tuan - Blue Rock и опубликована Patchstack 5 сентября 2025 года. В настоящее время официального исправления нет.
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/license-manager-for-woocommerce/vulnerability/wordpress-license-manager-for-woocommerce-plugin-3-0-12-sql-injection-vulnerability?_s_id=cve
CVE-2023-3604Плагин Change WP Admin Login WordPress до версии 1.1.4 раскрывает URL-адрес скрытой страницы входа в систему при доступе к специально созданному URL-адресу, обходя предлагаемую защиту.
CVE-2022-1589Плагин Change wp-admin login WordPress до версии 1.1.0 неправильно проверяет авторизацию, а также не имеет CSRF-защиты при обновлении своих настроек, что может позволить неаутентифицированным пользователям изменять настройки. Атака также может быть выполнена через CSRF-вектор.
CVE-2026-0832Новый плагин User Approve для WordPress уязвим для несанкционированного доступа к данным и модификации данных из-за отсутствующей проверки возможностей нескольких конечных точек REST API во всех версиях до 3.2.2. Это позволяет неаутентифицированным злоумышленникам одобрять или отказывать в учетных записях пользователей, извлекать конфиденциальную информацию о пользователях, включая электронные письма и роли, и вытесняя логотипа привилегированных пользователей.
CVE-2026-3090The Post SMTP - Полная электронная почта и решение SMTP с журналами электронной почты, оповещениями, резервными SMTP и мобильными приложениями для WordPress уязвим для хранения кросс-сайта по параметру «event_type» во всех версиях до 3.8.0 из-за недостаточной дезинфекции ввода и выхода вывода. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице. Уязвимость может быть использована только тогда, когда также установлен плагин Post SMTP Pro и включен его расширение отчетов и отслеживания.
CVE-2024-52436Неправильная нейтрализация специальных элементов, используемых в SQL-команде («SQL-инъекция») в Post SMTP допускает слепую SQL-инъекцию. Эта проблема затрагивает Post SMTP: от n/a до 2.9.9.
CVE-2024-5207Плагин POST SMTP – The #1 WordPress SMTP Plugin with Advanced Email Logging and Delivery Failure Notifications для WordPress уязвим к SQL-инъекциям, основанным на времени, через параметр selected во всех версиях до 2.9.3 включительно из-за недостаточного экранирования параметра, предоставленного пользователем, и недостаточной подготовки существующего SQL-запроса. Это позволяет аутентифицированным злоумышленникам с правами администратора или выше добавлять дополнительные SQL-запросы к уже существующим запросам, которые можно использовать для извлечения конфиденциальной информации из базы данных.
CVE-2023-6620Плагин POST SMTP Mailer WordPress до версии 2.8.7 неправильно обрабатывает и экранирует несколько параметров перед их использованием в SQL-запросах, что приводит к SQL-инъекции, эксплуатируемой пользователями с высокими привилегиями, такими как администратор.