nvd,anchore_overrides
Wpmudev
Уязвимости
58
Эксплуатируемые
0
Критический
5
Высокий
13
Топ продуктов
Топ уязвимостей
CVE-2025-14998Плагин Branda для WordPress уязвим для эскалации привилегий через поглощение учетной записи во всех версиях до 3.4.24. Это связано с плагином, не проверяющим должным образом личность пользователя до обновления пароля. Это позволяет неаутентифицированным злоумышленникам изменять пароли произвольного пользователя, включая администраторов, и использовать это для получения доступа к своей учетной записи.
CVE-2024-37444Уязвимость Missing Authorization в WPMU DEV Defender Security позволяет получить доступ к функциональности, ненадлежащим образом ограниченной списками контроля доступа. Эта проблема затрагивает Defender Security: от n/a до 4.7.1.
CVE-2023-47189Уязвимость неправильной аутентификации в WPMU DEV Defender Security позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Defender Security: от n/a до 4.2.0.
CVE-2022-44581Уязвимость небезопасного хранения конфиденциальной информации в WPMU DEV Defender Security позволяет: Screen Temporary Files для конфиденциальной информации. Эта проблема затрагивает Defender Security: от н/д до 3.3.2.
CVE-2017-20206Плагин Appointments для WordPress уязвим к PHP‑Object‑Injection через десериализацию значения cookie `wpmudev_appointments`. Неаутентифицированный злоумышленник может передать специально сформированный объект, который будет создан в процессе обработки, позволяя выполнить произвольный PHP‑код. В реальном мире уязвимость активно использовалась, в том числе с применением класса `WP_Theme` для создания бекдоров. Патч, вышедший в версии 2.2.2, исправил проверку и десериализацию, устранив возможность эксплуатации. См. источник [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/7e8f230e-3f96-4efd-806d-72725b960303?source=cve
- [2] https://www.wordfence.com/blog/2017/10/3-zero-day-plugin-vulnerabilities-exploited-wild/
- [3] https://plugins.trac.wordpress.org/changeset/1733186/appointments
CVE-2025-6464Формы Формирования - Контактная форма, Платежная форма и пользовательский плагин конструктор форм для WordPress уязвим для впрыска объектов PHP во всех версиях до 1,44.2 путем дезериализации ненадежного ввода в функции 'entry_delete_upload_files'. Это позволяет неаутентичным злоумышленникам вводить объект PHP через файл PHAR. Никакая известная цепочка POP не присутствует в уязвимом программном обеспечении, что означает, что эта уязвимость не имеет никакого влияния, если на сайте не установлен другой плагин или тема, содержащая цепочку POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода в зависимости от присутствующей цепочки POP. Дезериализация происходит, когда представление формы удаляется, будь то Администратором или посредством автоматического удаления, определяемого настройками плагина.
CVE-2025-6463Формы форм-формы Формата – Контактная форма, Платежная форма и пользовательский плагин конструктор форм для WordPress уязвим для произвольного удаления файлов из-за недостаточной валидации пути файла в функции 'intry_delete_upload_files' во всех версиях до 1,44.2. Это позволяет неаутентичным злоумышленникам включать произвольные пути файлов в представление формы. Файл будет удален, когда подача формы будет удалена, будь то Администратором или с помощью автоматического удаления, определяемых настройками плагина. Это может легко привести к удаленному исполнению кода при удалении правого файла (например, wp-config.php).
CVE-2024-43117Уязвимость межсайтовой подделки запросов (CSRF) в WPMU DEV Hummingbird. Эта проблема затрагивает Hummingbird: от n/a до 3.9.1.
CVE-2024-10402Плагин Forminator Forms – Contact Form, Payment Form & Custom Form Builder для WordPress уязвим для несанкционированного доступа из-за отсутствия проверки возможностей в функции во всех версиях до 1.35.1 включительно. Это позволяет аутентифицированным злоумышленникам с правами уровня участника и выше, а также разрешениями, предоставленными администратором, создавать новые или редактировать существующие формы, включая обновление роли регистрации по умолчанию до администратора в формах регистрации пользователей.
CVE-2017-18511Плагин custom-sidebars версий до 3.0.8.1 для WordPress имеет CSRF.
CVE-2017-18510Плагин custom-sidebars версий до 3.1.0 для WordPress имеет CSRF, связанный с установкой местоположения, действиями импорта и действиями экспорта.
CVE-2024-0368Плагин Hustle – Email Marketing, Lead Generation, Optins, Popups для WordPress уязвим для Sensitive Information Exposure во всех версиях до 7.8.3 включительно через жестко закодированные ключи API. Это позволяет неаутентифицированным злоумышленникам извлекать конфиденциальные данные, включая PII.
CVE-2026-5192Формы форм-формы Forminator – контактная форма, платежная форма и плагин конструктор пользовательских форм для WordPress уязвим для Path Traversal в версиях до 1,52.1 по параметру «upload-1[file][file_path]». Это позволяет неаутентифицированным злоумышленникам считывать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию. Успешная эксплуатация требует общедоступной формы с полем загрузки файлов, где включено «Сохранить и продолжить» в настройках поведения этой формы, а уведомление о поведении «Сохранить и продолжить» настроено на прикрепление загруженных файлов в уведомлениях по электронной почте.
CVE-2026-0911The Hustle – Email Marketing, Lead Generation, Optins, Popups plugin для WordPress уязвим для произвольных загрузок файлов из-за неправильной проверки типа файла в функции action_import_module() во всех версиях до 7.8.9.2. Это позволяет аутентифицированным злоумышленникам с более низкой привилегированной ролью (например, доступ на уровне подписчика и выше) загружать произвольные файлы на сервере затронутого сайта, что может сделать возможным удаленное выполнение кода. Успешная эксплуатация требует, чтобы администратор предоставил разрешения модуля Hustle (или доступ к редактированию модулей) низкопривилегированному пользователю, чтобы он мог получить доступ к странице администратора Hustle и получить требуемую ночевку.
CVE-2023-5949WordPress плагин SmartCrawl до версии 3.8.3 не предотвращает доступ неавторизованных пользователей к содержимому записей, защищенных паролем.
CVE-2023-51490Раскрытие конфиденциальной информации неавторизованному субъекту уязвимость в WPMU DEV Defender Security – Malware Scanner, Login Security & Firewall. Эта проблема затрагивает Defender Security – Malware Scanner, Login Security & Firewall: с n/a по 4.1.0.
CVE-2017-15079Плагин Smush Image Compression and Optimization до версии 2.7.6 для WordPress допускает обход каталогов.
CVE-2024-8981Плагин Broken Link Checker для WordPress подвержен отраженному межсайтовому скриптингу (XSS) из-за использования add_query_arg в /app/admin-notices/features/class-view.php без соответствующего экранирования URL-адреса во всех версиях до 2.4.0 включительно. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2026-6214Плагин Forms Forminator для WordPress уязвим для пропуска авторизации в версиях до 1.53.0 включительно. Это связано с функцией listen_for_saving_export_schedule() в library/class-export.php, не выполняющей проверку возможностей перед сохранением запланированной конфигурации экспорта, в отличие от параллельной функции listen_for_csv_export(), которая правильно проверяет пользовательские разрешения. Это позволяет аутентифицированным злоумышленникам с доступом на уровне абонента для настройки запланированной работы по экспорту, которая отправляет все формы представления на контролируемый злоумышленником адрес электронной почты, что приводит к эксфильтрации конфиденциальных данных.
CVE-2025-5341Плагин Forminator Forms – Contact Form, Payment Form & Custom Form Builder для WordPress уязвим к Stored Cross-Site Scripting через параметры ‘id’ и ‘data-size’ во всех версиях до 1.44.1 включительно из-за недостаточной проверки и экранирования входных данных. Это позволяет авторизованным злоумышленникам с правами Contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе к ним [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/415bfddb-5223-439f-8a08-535f79631ff0?source=cve
- [2] https://plugins.trac.wordpress.org/browser/forminator/tags/1.44.1/assets/forminator-ui/js/forminator-form.js#L985
- [3] https://wordpress.org/plugins/forminator/#developers
- [4] https://plugins.trac.wordpress.org/changeset/3306475
CVE-2025-0470Плагин Forminator Forms – Contact Form, Payment Form & Custom Form Builder для WordPress уязвим для отраженного межсайтового скриптинга через параметр title во всех версиях до 1.38.2 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2024-9371Плагин Branda – White Label & Branding, Custom Login Page Customizer для WordPress уязвим к отраженному межсайтовому скриптингу из-за использования remove_query_arg без надлежащего экранирования URL-адреса во всех версиях до 3.4.19 включительно. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.
CVE-2022-1009Плагин Smush WordPress до версии 3.9.9 не очищает и не экранирует параметр конфигурации перед его выводом обратно на странице администратора при загрузке вредоносной предустановленной конфигурации, что приводит к отраженному межсайтовому скриптингу. Для успешной атаки злоумышленнику потребуется, чтобы администратор загрузил вредоносный файл конфигурации.
CVE-2015-10098В Broken Link Checker Plugin до версии 1.10.5 на WordPress была обнаружена уязвимость. Она была оценена как проблематичная. Уязвимой является функция print_module_list/show_warnings_section_notice/status_text/ui_get_action_links. Манипуляция приводит к межсайтовому скриптингу. Атака может быть осуществлена удаленно. Обновление до версии 1.10.6 позволяет решить эту проблему. Имя патча — f30638869e281461b87548e40b517738b4350e47. Рекомендуется обновить уязвимый компонент. Идентификатор этой уязвимости — VDB-225152.
CVE-2025-62048Отсутствует уязвимость авторизации в WPMU DEV - Ваша платформа WordPress WordPress SmartCrawl smartcrawl-seo.Эта проблема затрагивает SmartCrawl: от n/a до <= 3.14.3.