База данных уязвимостей CVE

wpDiscuz до версии 7.6.47 содержит уязвимость межсайтового скриптинга, которая позволяет злоумышленникам внедрять вредоносный код через неэкранированные URL-адреса вложений в выходные данные HTML, используя класс WpdiscuzHelperUpload. Злоумышленники могут создавать записи вредоносных …

wpDiscuz до версии 7.6.47 содержит уязвимость межсайтового выполнения сценариев в поле customCss, которая позволяет администраторам внедрять вредоносные сценарии путем выхода из тегов стиля. Злоумышленники с доступом администратора могут внедрить полезные …

wpDiscuz до версии 7.6.47 содержит уязвимость внедрения заголовка электронной почты, которая позволяет злоумышленникам манипулировать получателями почты, внедряя вредоносные данные в файл cookie comment_author_email. Злоумышленники могут создать вредоносное значение файла cookie, …

wpDiscuz до версии 7.6.47 содержит уязвимость раскрытия информации, которая позволяет администраторам непреднамеренно раскрывать секреты OAuth путем экспорта параметров плагина в формате JSON. Злоумышленники могут получить экспортированные файлы, содержащие секреты API …

wpDiscuz до версии 7.6.47 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам удалять все комментарии, связанные с адресом электронной почты, путем создания вредоносного запроса GET с действительным ключом HMAC. Злоумышленники …

wpDiscuz до версии 7.6.47 содержит уязвимость подмены IP-адреса в функции getIP(), которая позволяет злоумышленникам обойти ограничение скорости на основе IP и запретить принудительное применение, доверяя ненадежным заголовкам HTTP. Злоумышленники могут …

wpDiscuz до версии 7.6.47 содержит уязвимость манипулирования голосами, которая позволяет злоумышленникам манипулировать голосами комментариев, получая новые одноразовые номера и обходя ограничение скорости через заголовки, контролируемые клиентом. Злоумышленники могут изменять заголовки …

wpDiscuz до версии 7.6.47 содержит уязвимость SQL-инъекции в функции getAllSubscriptions(), из-за которой строковые параметры не имеют правильного экранирования кавычек в SQL-запросах. Злоумышленники могут внедрить вредоносный код SQL через параметры электронной …

wpDiscuz до версии 7.6.47 содержит сохраненную уязвимость межсайтового сценария, которая позволяет злоумышленникам, прошедшим проверку подлинности, внедрить вредоносный код JavaScript путем импорта созданного файла параметров с неэкранированными значениями полей customCss. Злоумышленники …

wpDiscuz до версии 7.6.47 содержит уязвимость внедрения шорткода, которая позволяет злоумышленникам выполнять произвольные шорткоды, включая их в контент комментариев, отправляемых через уведомления по электронной почте. Злоумышленники могут вставлять в комментарии …