База данных уязвимостей CVE

В PbootCMS до версии 3.2.12 обнаружена слабость. Это влияет на функцию alert_location файла apps/home/controller/MemberController.php обработчика параметров компонента. Эта манипуляция обратным URL-адресом аргумента приводит к созданию межсайтовых сценариев. Возможна удаленная эксплуатация …

Плагин JetFormBuilder для WordPress уязвим к произвольному чтению файлов посредством обхода пути во всех версиях до 3.5.6.2 включительно. Это связано с тем, что метод Uploaded_File::set_from_array принимает предоставленные пользователем пути к …

В PbootCMS до версии 3.2.12 обнаружена уязвимость безопасности. Это влияет на неизвестную функцию файла core/function/file.php компонента File Upload. Манипулирование аргументом black приводит к созданию неполного черного списка. Атака может быть …

Плагин Expire Users для WordPress уязвим к повышению привилегий во всех версиях до 1.2.2 включительно. Это связано с тем, что плагин позволяет пользователю обновлять мета-данные on_expire_default_to_role через функцию save_extra_user_profile_fields. Это …

Плагин Review Map от RevuKangaroo для WordPress уязвим к хранимому межсайтовому скриптингу через настройки плагина во всех версиях до 1.7 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет …

Плагин Neos Connector for Fakturama для WordPress уязвим к подделке межсайтовых запросов во всех версиях до 0.0.14 включительно. Это связано с отсутствием проверки nonce в функции ncff_add_plugin_page(), которая обрабатывает обновления …

Плагин Speedup Optimization для WordPress уязвим к отсутствию авторизации во всех версиях до 1.5.9 включительно. Функция `speedup01_ajax_enabled()`, которая обрабатывает действие AJAX `wp_ajax_speedup01_enabled`, не выполняет никакой проверки возможностей через `current_user_can()`, а …

Плагин Pre* Party Resource Hints для WordPress уязвим к SQL-инъекции через параметр «hint_ids» действия AJAX pprh_update_hints во всех версиях до 1.8.20 включительно. Это происходит из-за недостаточного экранирования предоставленного пользователем параметра …

Плагин WP Random Button для WordPress уязвим для хранимых межсайтовых сценариев через атрибуты короткого кода «cat», «nocat» и «text» короткого кода «wp_random_button» во всех версиях до 1.0 включительно. Это связано …

Плагин шорткодов подкастов fyyd для WordPress уязвим к хранимому межсайтовому скриптингу через шорткоды «fyyd-podcast», «fyyd-episode» и «fyyd» во всех версиях до 0.3.1 включительно. Это связано с недостаточной очисткой ввода и …