🚨CVE info : 🚨
🛠️ Produit concerné : GG Bought Together for WooCommerce
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL («injection SQL») dans WPOPAL GG achetée ensemble pour WooCommerce permet l'injection SQL. Ce problème affecte GG acheté ensemble pour WooCommerce: de N / A à 1.0.2.
🔥 Risques : SQL Injection permettant l'accès non autorisé aux données
💡 Opportunités : exécution de requêtes SQL malveillantes
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : WP SmartPay
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Le contournement de l'authentification à l'aide d'un autre chemin ou d'une vulnérabilité de canal dans Themesgrove WP SmartPay permet l'abus d'authentification. Ce problème affecte WP SmartPay: de N / A à 2.7.13.
🔥 Risques : Contournement d'authentification, accès non autorisé
💡 Opportunités : accès au compte utilisateur sans mot de passe
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : WP Optimize By xTraffic
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non fiables dans PEP.VN WP Optimiser par xtraffic permet l'injection d'objet. Ce problème affecte WP Optimize par xtraffic: de N / A à 5.1.6.
🔥 Risques : Injection d'objets non désérialisés pouvant conduire à des attaques
💡 Opportunités : exécution de code malveillant
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Content No Cache
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.6 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Contrôle incorrect de la génération de la vulnérabilité du code («injection de code») dans Jose Content Aucun cache permet l'injection de code. Ce problème affecte le contenu sans cache: de N / A à 0,1,3.
🔥 Risques : Injection de code, compromission de l'application
💡 Opportunités : exécution de code malicieux sur le serveur
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : WPKit For Elementor
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La vulnérabilité d'autorisation manquante dans FOCUXTHEME WPKIT pour Elementor permet une escalade de privilège. Ce problème affecte WPKIT pour Elementor: de N / A à 1.1.0.
🔥 Risques : Escalade de privilèges permettant l'exécution de commandes par des utilisateurs non autorisés
💡 Opportunités : accès à des fonctionnalités administratives
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Amely
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité de commande SQL («injection SQL») dans TheMemove Amely permet l'injection de SQL. Ce problème affecte Amely: de N / A à 3.1.4.
🔥 Risques : SQL Injection facilitant l'accès à des données sensibles
💡 Opportunités : exécution de requêtes SQL malveillantes
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : FW Food Menu
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.6 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise limitation d'un chemin d'accès à une vulnérabilité répertoire restreint («Traversage») dans le menu alimentaire FastW3B LLC FW permet une traversée de chemin. Ce problème affecte le menu des aliments FW: de N / A à 6.0.0.
🔥 Risques : Traversée de chemin permettant un accès non autorisé aux fichiers
💡 Opportunités : accès à des fichiers sensibles sur le serveur
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Drag and Drop Multiple File Upload (Pro) - WooCommerce
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 10.0 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Téléchargement sans restriction du fichier avec une vulnérabilité de type dangereux dans Harutheme glisser et déposer plusieurs fichiers Upload (Pro) - WooCommerce permet de télécharger un shell Web sur un serveur Web. Ce problème affecte la glisser et la suppression de plusieurs fichiers (Pro) - WooCommerce: de N / A à 5.0.6.
🔥 Risques : Téléchargement de fichiers dangereux permettant le déploiement de shell web
💡 Opportunités : compromission du serveur web
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Everest Forms
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non fiables dans les formes de l'Everest Wpeverest permet une injection d'objet. Ce problème affecte les formulaires de l'Everest: de N / A à 3.2.2.
🔥 Risques : Injection d’objets non désérialisés menant à une compromission
💡 Opportunités : exécution de code malveillant
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : LifterLMS
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL («injection SQL») dans Chrisbadgett Le lifterlms permet l'injection de SQL. Ce problème affecte Le liftorlms: de N / A à 8.0.6.
🔥 Risques : SQL Injection pouvant conduire à la fuite de données
💡 Opportunités : accès aux données de l’utilisateur
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Classiera
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL («injection SQL») dans joinbwebs classiera permet l'injection SQL. Ce problème affecte Classiera: de N / A à 4.0.34.
🔥 Risques : SQL Injection permettant une exécution illégitime de requêtes
💡 Opportunités : accès non autorisé à la base de données
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Amwerk
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non confiance en boldthemes Amwerk permet l'injection d'objet. Ce problème affecte Amwerk: de N / A à 1.2.0.
🔥 Risques : Injection d’objets pouvant compromettre le système
💡 Opportunités : exécution de code sur le serveur
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : CouponXxL
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non fiables dans le couponxxl Pebas permet d'injection d'objet. Ce numéro affecte le couponxxl: de N / A à 3.0.0.
🔥 Risques : Injection non sécurisée d'objets
💡 Opportunités : escalade de privilèges
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : CouponXxL Custom Post Types
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.6 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Vulnérabilité d'attribution de privilèges incorrects dans les types de publication personnalisés Couponxxl PEBAS permet une escalade de privilège. Ce numéro affecte les types de publication personnalisés de couponxxl: de N / A à 3.0.
🔥 Risques : Escalade de privilèges due à une attribution incorrecte
💡 Opportunités : accès non autorisé à des fonctionnalités critiques
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Mobile DJ Manager
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : La vulnérabilité d'autorisation manquante dans MDJM Mobile DJ Manager permet d'exploiter les niveaux de sécurité de contrôle d'accès incorrectement configurés. Ce problème affecte le gestionnaire de DJ mobile: de N / A à 1.7.6.
🔥 Risques : Mauvaise configuration des niveaux de contrôle d'accès
💡 Opportunités : accès non autorisé aux fonctionnalités administratives
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Sala
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non fiables dans Uxper Sala permet l'injection d'objet. Ce problème affecte la sala: de N / A à 1.1.3.
🔥 Risques : Injection d’objets non désérialisés compromettant la sécurité
💡 Opportunités : compromission du système
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Nuss
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : La désérialisation de la vulnérabilité des données non fiables dans UXPER NUSS permet l'injection d'objet. Ce problème affecte Nuss: de N / A à 1.3.3.
🔥 Risques : Injection d’objets non désérialisés malveillants
💡 Opportunités : exécution de code non autorisé
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : DirectIQ Email Marketing
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité de commande SQL («injection SQL») dans Diretiq Diretiq Marketing Email Marketing Permet l'injection SQL. Ce problème affecte le marketing par e-mail Diretiq: de N / A à 2.0.
🔥 Risques : SQL Injection permettant l'accès à des données sensibles
💡 Opportunités : modification des données dans la base
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Homey
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité de commande SQL («injection SQL») dans Favethemes Homey permet l'injection de SQL. Ce problème affecte Homey: de N / A à 2.4.5.
🔥 Risques : SQL Injection compromettant l'intégrité des données
💡 Opportunités : accès et manipulation de données
🔧 Patch : non
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : DWT - Directory & Listing WordPress Theme
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Le thème DWT - Directory & Listing WordPress Le thème de WordPress est vulnérable à l'escalade des privilèges via le rachat de compte dans toutes les versions jusqu'à et incluant, 3.3.6. Cela est dû au plugin qui ne vérifie pas correctement une valeur de jeton vide avant de réinitialiser le mot de passe d'un utilisateur via la fonction DWT_LISTING_RESET_PASSWORD (). Cela permet aux attaquants non authentifiés de modifier les mots de passe de l'utilisateur arbitraire, y compris les administrateurs, et de tirer parti de celui-ci pour accéder à leur compte.
🔥 Risques : Escalade de privilèges via prise de contrôle de compte
💡 Opportunités : Accès non autorisé aux comptes des utilisateurs
🔧 Patch : Oui lien
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Simple Payment plugin for WordPress
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Le plugin de paiement simple pour WordPress est vulnérable au contournement de l'authentification dans les versions 1.3.6 à 2.3.8. Cela est dû au plugin qui ne vérifie pas correctement l'identité d'un utilisateur avant de les enregistrer via la fonction create_user (). Cela permet aux attaquants non authentifiés de se connecter en tant qu'utilisateurs administratifs.
🔥 Risques : Bypass d'authentification permettant aux attaquants non authentifiés de se connecter à un compte utilisateur
💡 Opportunités : Accès non autorisé aux informations sensibles des utilisateurs
🔧 Patch : oui, lien de mise à jour
🧨 Exploit : Exploit public
📚 Références :