Multiple Authenticated (contributor+) Persistent Cross-Site Scripting (XSS) vulnerabilities in W3 Eden Download Manager plugin <= 3.2.48 at WordPress.

CVE-2022-34658: Download Manager

Authenticated (admin+) Arbitrary File Read vulnerability in XplodedThemes WPide plugin <= 2.6 at WordPress.

 Verified

 Fixed

**4.9**

CVSS 3.1 score Medium severity

Monitoring Coming soon

PSID 

0cd38e045367

Classification 

Other Vulnerability Type

OWASP Top 10 

A1: Injection

Required privilege 

Requires high role user authentication like admin.

Publicly disclosed

2022-08-09

**Details**

Authenticated Arbitrary File Read vulnerability discovered by Brandon James Roldan (Patchstack Alliance) in WordPress WPide plugin (versions <= 2.6).

**Solution**

Update the WordPress WPIDE – File Manager & Code Editor plugin to the latest available version (at least 3.0).

**References**

CVE-2022-35235: WordPress WPide plugin <= 2.6 - Authenticated Arbitrary File Read vulnerability - Patchstack

Authenticated (contributor+) Stored Cross-Site Scripting (XSS) vulnerability in amCharts: Charts and Maps plugin <= 1.4 at WordPress.

 Verified

 Fixed

**5.4**

CVSS 3.1 score Medium severity

Monitoring Coming soon

PSID 

138b6f2f09e2

Classification 

Cross Site Scripting (XSS)

OWASP Top 10 

A7: Cross-Site Scripting (XSS)

Required privilege 

Requires contributor or higher role user authentication.

Publicly disclosed

2022-08-09

**Details**

Authenticated Stored Cross-Site Scripting (XSS) vulnerability discovered by Ngo Van Thien (Patchstack Alliance) in WordPress amCharts: Charts and Maps plugin (versions <= 1.4).

**Solution**

Update the WordPress amCharts: Charts and Maps plugin to the latest available version (at least 1.4.1).

**References**

CVE-2022-36405: WordPress amCharts: Charts and Maps plugin <= 1.4 - Authenticated Stored Cross-Site Scripting (XSS) vulnerability - Patchstack

Authenticated (author+) SQL Injection (SQLi) vulnerability in Contest Gallery plugin <= 17.0.4 at WordPress.

 Verified

 Fixed

**7.6**

CVSS 3.1 score High severity

Monitoring Coming soon

PSID 

d4a1e0d8c02c

Classification 

SQL Injection

OWASP Top 10 

A1: Injection

Required privilege 

Requires author or higher role user authentication.

Publicly disclosed

2022-08-09

**Details**

Authenticated SQL Injection (SQLi) vulnerability discovered by Nguy Minh Tuan (Patchstack Alliance) in WordPress Contest Gallery plugin (versions <= 17.0.4).

**Solution**

Update the WordPress Contest Gallery plugin to the latest available version (at least 17.0.5).

**References**

CVE-2022-36394: WordPress Contest Gallery plugin <= 17.0.4 - Authenticated SQL Injection (SQLi) vulnerability - Patchstack

Cross-Site Request Forgery (CSRF) leading to plugin settings update in YooMoney ?Kassa ??? WooCommerce plugin <= 2.3.0 at WordPress.

*   Details
*   Reviews
*   Installation
*   Support
*   Development

**Важно**

Плагин «ЮKassa» разработан для WooCommerce 3.7 и выше.

The YooKassa plugin is compatible with WooCommerce version 3.7 or later.

**Описание**

Плагин «ЮKassa» – платежное решение для сайтов на WooCommerce:

*   включает 12 способов приема платежей,
*   подходит для юрлиц и ИП,
*   деньги поступают на банковский счет компании.

**Description**

The YooKassa plugin is the payment solution for websites that use WooCommerce:

*   includes 12 payment acceptance methods,
*   suitable for companies and entrepreneurs,
*   settlements are made to the company’s bank account.

**Настройка плагина**

Чтобы принимать платежи через плагин, нужно подать заявку на подключение ЮKassa и заключить договор с компанией «ЮMoney» (онлайн).  
После этого вы получите нужные настройки.  
Инструкция по установке и настройке плагина

**Plugin configuration**

To accept payments via the plugin, apply for onboarding with YooKassa and enter into a contract with YooMoney (online).  
We will send you the required settings afterwards.

**Поддержка передачи данных чека**  
Если вы настраивали отправку чеков в налоговую через партнеров ЮKassa (по 54-ФЗ), в настройках модуля надо включить отправку данных для чека.  
Помощь ЮKassa отправка чеков по 54-ФЗ

**We support the transmission of receipts**  
If you configured the transmission of receipts to the Tax service via YooKassa (in accordance with Federal Law No. 54-FZ), enable the transmission of receipt data in the settings.  
YooKassa’s guide for transmission of receipts in accordance with Federal Law No. 54-FZ

**Тарифы**

Подключение ЮKassa и настройка плагина – бесплатно. Комиссия за прием платежей – от 2,8%.  
Посмотреть все тарифы на сайте ЮKassa

**Rates**  
Onboarding with YooKassa and plugin configuration are free of charge. The commission for accepting payments starts at 2.8%.  
View all rates at the YooKassa website

**Все возможности ЮKassa**

После подключения ЮKassa доступны:  
\* 12 способов приема платежей. Карты, электронные кошельки, интернет-банки, сервисы онлайн-кредитования, наличные, баланс телефона. Вы сами выбираете, какие способы нужны, и перечисляете их в договоре. Кнопки оплаты можно разместить на своем сайте или на сайте ЮMoney: выберите подходящий вариант при настройке плагина.  
\* Личный кабинет на сайте ЮKassa. В нем можно делать возвраты платежей, выставлять и отправлять счета, общаться с менеджерами ЮKassa.

Перейти на сайт ЮKassa

**All features of YooKassa**

After the onboarding, you can access:

12 payment acceptance methods. Cards, e-wallets, online banking, installment plan services, cash, phone balance. Select the methods by yourself and specify them in the contract. You can place the payment buttons at your website or at the YooKassa website: choose the suitable option when setting up the plugin.  
Your own Merchant Profile at the YooKassa website. Use it to make refunds, create and send invoices, or contact the YooKassa manager.  
Visit the YooKassa website

Этот контора мошенники! Они вводят людей в заблуждение. После регистрации на юмони, вы не сможете принимать платежи. Они собирают о вас информацию и ни известно что потом с ней делают.

It is lightweight and work. Other not matter.

Read all 3 reviews

“ЮKassa для WooCommerce” is open source software. The following people have contributed to this plugin.

Contributors

*    yoomoney

**2.4.0**

*   Добавлен метод оплаты СБП с выбором на стороне сайта
*   Обновление SDK до версии 2.5.1

**2.3.3**

*   Исправлена ошибка повторной обработки уже полученных уведомлений от ЮKassa
*   Обновление SDK до 2.4.2

**2.3.2**

*   Добавлена возможность разрешать пользователям сохранять карту после успешной оплаты

**2.3.1**

*   Добавлена проверка роли пользователя при сохранении настроек (разрешено только administrator и manage\_woocommerce)
*   Добавлена проверка токена и сам токен в формах настроек для защиты от CSRF
*   Обновление SDK до 2.4.1

**2.3.0**

*   Добавлен способ авторизации в Юkassa через OAuth.
*   Добавлена подписка на уведомления через OAuth токен
*   Обновлен интерфейс настройки модуля
*   Добавлен перевод
*   Обновлен SDK до версии 2.3.0

**2.2.5**

*   Отключен способ оплаты Webmoney
*   Обновлен SDK до версии 2.2.6

**2.2.4**

*   Изменена инициализация виджета
*   Обновлен SDK до версии 2.2.5

**2.2.3**

*   Обновлен SDK до версии 2.2.2

**2.2.2**

*   Обновлен SDK до версии 2.1.8

**2.2.1**

*   Очистка корзины при оплате через виджет

**2.2.0**

*   Замена Сбербанк Онлайн на SberPay
*   Исправлена работа по очистке корзины
*   Добавлен файл переводов для en локали
*   Обновлен SDK до версии 2.1.7

**2.1.5**

*   Исправление конвертации стоимости товара и доставки

**2.1.4**

*   Курсы валют с учетом номинала
*   Обновлен SDK до версии 2.1.3

**2.1.3**

*   Заменён файл верификации для ApplePay

**2.1.2**

*   Поддержка сайтов без ЧПУ
*   Обновлен SDK до версии 2.1.2

**2.1.1**

*   Игнорируем заказы с другими платежными системами

**2.1.0**

*   Установка системы налогообложения
*   Исправлена ошибка пересчета кредитования при изменении способа доставки
*   Небольшие поправки
*   Обновлен SDK до версии 2.1.0

**2.0.4**

*   Поддержка плагина WPML при возврате с формы оплаты
*   Обновлен SDK до версии 2.0.7

**2.0.3**

*   Работа вкладок на странице настроек при конфликте bootstrap

**2.0.2**

*   Форматирование номера телефона для чеков
*   Обновлен SDK до версии 2.0.5

**2.0.1**

*   Сохранение всех попыток оплаты с привязкой к заказу

**2.0.0**

*   Публикация в магазине приложений

CVE-2022-36379: ЮKassa для WooCommerce

Authenticated (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Alpine Press Alpine PhotoTile for Pinterest plugin <= 1.3.1 at WordPress.

 Verified

 Not fixed

**4.8**

CVSS 3.1 score Medium severity

Monitoring Coming soon

Software

Alpine PhotoTile for Pinterest

Vulnerable versions

<= 1.3.1

PSID 

ac678906c44b

Classification 

Cross Site Scripting (XSS)

OWASP Top 10 

A7: Cross-Site Scripting (XSS)

Required privilege 

Requires high role user authentication like admin.

Publicly disclosed

2022-08-12

**Details**

Authenticated Stored Cross-Site Scripting (XSS) vulnerability discovered by ptsfence in WordPress Alpine PhotoTile for Pinterest plugin (versions <= 1.3.1).

**Solution**

Deactivate and delete. This plugin has been closed as of August 10, 2022 and is not available for download. This closure is temporary, pending a full review.

**References**

CVE-2022-36347: WordPress Alpine PhotoTile for Pinterest plugin <= 1.3.1 - Authenticated Stored Cross-Site Scripting (XSS) vulnerability - Patchstack

Authenticated (subscriber+) plugin settings change leading to Stored Cross-Site Scripting (XSS) vulnerability in Akash soni's AS – Create Pinterest Pinboard Pages plugin <= 1.0 at WordPress.

 Verified

 Not fixed

**5.4**

CVSS 3.1 score Medium severity

Monitoring Coming soon

Software

AS – Create Pinterest Pinboard Pages

Vulnerable versions

<= 1.0

PSID 

a92dbce87906

Classification 

Cross Site Scripting (XSS)

OWASP Top 10 

A7: Cross-Site Scripting (XSS)

Required privilege 

Requires subscriber or higher role user authentication.

Publicly disclosed

2022-08-10

**Details**

Authenticated plugin settings change leading to Stored Cross-Site Scripting (XSS) vulnerability discovered by ptsfence in WordPress AS – Create Pinterest Pinboard Pages plugin (versions <= 1.0).

**Solution**

No fix is available.

**References**

CVE-2022-36341: WordPress AS – Create Pinterest Pinboard Pages plugin <= 1.0 - Authenticated plugin settings change leading to Stored Cross-Site Scripting (XSS) vulnerability - Patchstack

Cross-Site Request Forgery (CSRF) vulnerabilities in WPChill Gallery PhotoBlocks plugin <= 1.2.6 at WordPress.

*   Details
*   Reviews
*   Support
*   Development

This plugin has been closed as of August 10, 2022 and is not available for download. This closure is temporary, pending a full review.

This is so good. Has a million options and does it all perfect.

It is so easy to use with the freedom to size every picture as you wish. I also like the lightbar, so visitors can watch your pictures full size. Really great!

Easy an flexible solution, a joy to work with!

Très bon plugin, intuitif et sympa. Je recommande

Ottimo plugin, facile da installare e pubblicare. Aspetto finale elegante

Read all 71 reviews

“Gallery PhotoBlocks” is open source software. The following people have contributed to this plugin.

Contributors

CVE-2022-36292: Gallery PhotoBlocks

Multiple Cross-Site Request Forgery (CSRF) vulnerabilities in W3 Eden Download Manager plugin <= 3.2.48 at WordPress.

 Verified

 Fixed

**5.4**

CVSS 3.1 score Medium severity

Monitoring Coming soon

PSID 

d575770245ca

Classification 

Cross Site Request Forgery (CSRF)

OWASP Top 10 

A5: Broken Access Control

Publicly disclosed

2022-08-02

**Details**

Multiple Cross-Site Request Forgery (CSRF) vulnerabilities leading to stats and cache deletion were discovered by Vlad Vector (Patchstack) in the WordPress Download Manager plugin (versions <= 3.2.48).

**Solution**

Update the WordPress Download Manager plugin to the latest available version (at least 3.2.49).

**References**

CVE-2022-36288: WordPress Download Manager plugin <= 3.2.48 - Multiple Cross-Site Request Forgery (CSRF) vulnerabilities - Patchstack

Authenticated Arbitrary File Upload vulnerability in dmitrylitvinov Uploading SVG, WEBP and ICO files plugin <= 1.0.1 at WordPress.

 Verified

 Not fixed

**7.2**

CVSS 3.1 score High severity

Monitoring Coming soon

Vulnerable versions

<= 1.0.1

PSID 

b4c5eea831b8

Classification 

Arbitrary File Upload

OWASP Top 10 

A1: Injection

Required privilege 

Requires author or higher role user authentication.

Publicly disclosed

2022-08-12

**Details**

Authenticated Arbitrary File Upload vulnerability discovered by Universe (Patchstack Alliance) in WordPress Uploading SVG, WEBP and ICO files plugin (versions <= 1.0.1).

**Solution**

No patched version is available. Ignored by the vendor.

**References**

Tag

#wordpress