WordPress — свободно распространяемая система управления содержимым сайта с открытым исходным кодом.
Релизный цикл, информация об уязвимостях
График релизов
Количество 1 894
BDU:2020-03937
Уязвимость функции wp_insert_user и test_wp_update_user_should_delete_userslugs_cache (user.php) системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
BDU:2020-03940
Уязвимость функции render_block_core_search (render_block_core_search) и render_block_core_rss (rss.php) системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2020-03938
Уязвимость метода parse_query (class-wp-query.php) системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2020-03939
Уязвимость метода stats() (class-wp-object-cache.php) системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2020-03935
Уязвимость системы управления содержимым сайта WordPress, связанная с недостатками используемых мер по защите структур веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2020-03936
Уязвимость компонентов formatting.php и SanitizeFileName.php системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных
GHSA-5f37-gxvh-23v6
Remote code execution in PHPMailer
GHSA-4pc3-96mx-wwc8
Remote code execution in PHPMailer
GHSA-7w4p-72j7-v7c2
Phar object injection in PHPMailer
CVE-2019-20043
In in wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php in WordPress 3.7 to 5.3.0, authenticated users who do not have the rights to publish a post are able to mark posts as sticky or unsticky via the REST API. For example, the contributor role does not have such rights, but this allowed them to bypass that. This has been patched in WordPress 5.3.1, along with all the previous WordPress versions from 3.7 to 5.3 via a minor release.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | BDU:2020-03937 Уязвимость функции wp_insert_user и test_wp_update_user_should_delete_userslugs_cache (user.php) системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность | CVSS3: 8.1 | 37% Средний | больше 5 лет назад |
| BDU:2020-03940 Уязвимость функции render_block_core_search (render_block_core_search) и render_block_core_rss (rss.php) системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных | CVSS3: 5.4 | 1% Низкий | больше 5 лет назад |
| BDU:2020-03938 Уязвимость метода parse_query (class-wp-query.php) системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ к конфиденциальным данным | CVSS3: 7.5 | 1% Низкий | больше 5 лет назад |
| BDU:2020-03939 Уязвимость метода stats() (class-wp-object-cache.php) системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных | CVSS3: 6.1 | 2% Низкий | больше 5 лет назад |
| BDU:2020-03935 Уязвимость системы управления содержимым сайта WordPress, связанная с недостатками используемых мер по защите структур веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных | CVSS3: 5.4 | 1% Низкий | больше 5 лет назад |
| BDU:2020-03936 Уязвимость компонентов formatting.php и SanitizeFileName.php системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных | CVSS3: 5.4 | 3% Низкий | больше 5 лет назад |
| GHSA-5f37-gxvh-23v6 Remote code execution in PHPMailer | CVSS3: 9.8 | 94% Критический | больше 5 лет назад |
| GHSA-4pc3-96mx-wwc8 Remote code execution in PHPMailer | CVSS3: 9.8 | 94% Критический | больше 5 лет назад |
| GHSA-7w4p-72j7-v7c2 Phar object injection in PHPMailer | CVSS3: 8.8 | 1% Низкий | больше 5 лет назад |
 | CVE-2019-20043 In in wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php in WordPress 3.7 to 5.3.0, authenticated users who do not have the rights to publish a post are able to mark posts as sticky or unsticky via the REST API. For example, the contributor role does not have such rights, but this allowed them to bypass that. This has been patched in WordPress 5.3.1, along with all the previous WordPress versions from 3.7 to 5.3 via a minor release. | CVSS3: 4.3 | 1% Низкий | больше 5 лет назад |
Уязвимостей на страницу