WordPress — свободно распространяемая система управления содержимым сайта с открытым исходным кодом.
Релизный цикл, информация об уязвимостях
График релизов
Количество 1 894
CVE-2021-39200
WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. In affected versions output data of the function wp_die() can be leaked under certain conditions, which can include data like nonces. It can then be used to perform actions on your behalf. This has been patched in WordPress 5.8.1, along with any older affected versions via minor releases. It's strongly recommended that you keep auto-updates enabled to receive the fix.
CVE-2021-39201
WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. ### Impact The issue allows an authenticated but low-privileged user (like contributor/author) to execute XSS in the editor. This bypasses the restrictions imposed on users who do not have the permission to post `unfiltered_html`. ### Patches This has been patched in WordPress 5.8, and will be pushed to older versions via minor releases (automatic updates). It's strongly recommended that you keep auto-updates enabled to receive the fix. ### References https://wordpress.org/news/category/releases/ https://hackerone.com/reports/1142140 ### For more information If you have any questions or comments about this advisory: * Open an issue in [HackerOne](https://hackerone.com/wordpress)
CVE-2021-39202
WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. In affected versions the widgets editor introduced in WordPress 5.8 beta 1 has improper handling of HTML input in the Custom HTML feature. This leads to stored XSS in the custom HTML widget. This has been patched in WordPress 5.8. It was only present during the testing/beta phase of WordPress 5.8.
BDU:2021-05132
Уязвимость системы управления содержимым сайта WordPress связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю внедрить произвольный Веб- или HTML-код
BDU:2021-05143
Уязвимость функции wp_die() системы управления содержимым сайта WordPress, связанная с раскрытием защищаемой информации, позволяющая нарушителю выполнить произвольный код
BDU:2021-05149
Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)
BDU:2021-05109
Уязвимость системы управления содержимым сайта WordPress, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения
BDU:2021-03857
Уязвимость параметров unsplash_download_w и unsplash_download_h плагина Instant Images One Click - Unsplash Uploads системы управления содержимым сайта WordPress, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
BDU:2021-03586
Уязвимость плагина Kaswara Modern VC Addons системы управления содержимым сайта WordPress, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загрузить и выполнить произвольные файлы
BDU:2021-03585
Уязвимость плагина Business Directory системы управления содержимым сайта WordPress, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю читать произвольные файлы в каталоге конфигурации
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2021-39200 WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. In affected versions output data of the function wp_die() can be leaked under certain conditions, which can include data like nonces. It can then be used to perform actions on your behalf. This has been patched in WordPress 5.8.1, along with any older affected versions via minor releases. It's strongly recommended that you keep auto-updates enabled to receive the fix. | CVSS3: 5.3 | 1% Низкий | почти 4 года назад |
| CVE-2021-39201 WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. ### Impact The issue allows an authenticated but low-privileged user (like contributor/author) to execute XSS in the editor. This bypasses the restrictions imposed on users who do not have the permission to post `unfiltered_html`. ### Patches This has been patched in WordPress 5.8, and will be pushed to older versions via minor releases (automatic updates). It's strongly recommended that you keep auto-updates enabled to receive the fix. ### References https://wordpress.org/news/category/releases/ https://hackerone.com/reports/1142140 ### For more information If you have any questions or comments about this advisory: * Open an issue in [HackerOne](https://hackerone.com/wordpress) | CVSS3: 7.6 | 0% Низкий | почти 4 года назад |
| CVE-2021-39202 WordPress is a free and open-source content management system written in PHP and paired with a MySQL or MariaDB database. In affected versions the widgets editor introduced in WordPress 5.8 beta 1 has improper handling of HTML input in the Custom HTML feature. This leads to stored XSS in the custom HTML widget. This has been patched in WordPress 5.8. It was only present during the testing/beta phase of WordPress 5.8. | CVSS3: 7.6 | 1% Низкий | почти 4 года назад |
 | BDU:2021-05132 Уязвимость системы управления содержимым сайта WordPress связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю внедрить произвольный Веб- или HTML-код | CVSS3: 5.4 | 1% Низкий | почти 4 года назад |
| BDU:2021-05143 Уязвимость функции wp_die() системы управления содержимым сайта WordPress, связанная с раскрытием защищаемой информации, позволяющая нарушителю выполнить произвольный код | CVSS3: 5.3 | 1% Низкий | почти 4 года назад |
| BDU:2021-05149 Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS) | CVSS3: 5.4 | 0% Низкий | почти 4 года назад |
| BDU:2021-05109 Уязвимость системы управления содержимым сайта WordPress, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения | CVSS3: 6.5 | 1% Низкий | почти 4 года назад |
| BDU:2021-03857 Уязвимость параметров unsplash_download_w и unsplash_download_h плагина Instant Images One Click - Unsplash Uploads системы управления содержимым сайта WordPress, позволяющая нарушителю осуществлять межсайтовые сценарные атаки | CVSS3: 5.4 | 0% Низкий | около 4 лет назад |
| BDU:2021-03586 Уязвимость плагина Kaswara Modern VC Addons системы управления содержимым сайта WordPress, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загрузить и выполнить произвольные файлы | CVSS3: 9.8 | 91% Критический | больше 4 лет назад |
| BDU:2021-03585 Уязвимость плагина Business Directory системы управления содержимым сайта WordPress, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю читать произвольные файлы в каталоге конфигурации | CVSS3: 7.2 | 1% Низкий | больше 4 лет назад |
Уязвимостей на страницу