Ultimas Noticias
-
SVS Pricing Tables <= 1.0.4 – Cross-Site Request Forgery para Eliminar Tablas de Precios
El plugin SVS Pricing Tables para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.4. Esto se debe a la validación de nonce faltante o incorrecta en la función deletePricingTable(). Esto hace posible que atacantes no autenticados eliminen tablas de precios mediante una solicitud falsificada siempre que puedan…
-
ARMember – Plugin de Membresía, Restricción de Contenido, Niveles de Usuario, Perfil de Usuario e Inscripción de Usuario <= 4.0.30 – Redirección Abierta
El plugin ARMember – Plugin de Membresía, Restricción de Contenido, Niveles de Usuario, Perfil de Usuario e Inscripción de Usuario para WordPress es vulnerable a la Redirección Abierta en todas las versiones hasta, e incluyendo, la 4.0.30. Esto se debe a una validación insuficiente en la URL de redirección suministrada a través del parámetro redirect_to.…
-
Iconos de Compartir en Redes Sociales y Botones de Compartir <= 3.6.2 – Falta de Autorización para Descartar Avisos
El plugin Social Share Icons & Social Share Buttons para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en una función en versiones hasta, e incluyendo, la 3.6.2. Esto hace posible que atacantes no autenticados descarten avisos. Para subsanar este problema, se recomienda a…
-
Exposición de Información Sensible en el Plugin Drag and Drop Multiple File Upload – Contact Form 7 <= 1.3.7.7
El plugin Drag and Drop Multiple File Upload – Contact Form 7 para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.3.7.7 a través del directorio ‘/wp-content/uploads/wp_dndcf7_uploads/wpcf7-files’. Esto permite que atacantes no autenticados puedan extraer datos sensibles cargados a través de este plugin a través de…
-
LeadConnector <= 1.7 – Falta de Autorización para la Eliminación Arbitraria de Publicaciones sin Autenticación
El plugin LeadConnector para WordPress es vulnerable a la modificación y pérdida no autorizada de datos debido a la falta de una verificación de capacidad en la función lc_public_api_proxy() en todas las versiones hasta, e incluyendo, la 1.7. Esto permite que atacantes no autenticados eliminen publicaciones arbitrarias. Para subsanar este problema, se recomienda a los…
-
Campo de Checkout ‘Where Did You Hear About Us’ para WooCommerce <= 1.3.1 – Cross-Site Scripting Almacenado Autenticado (Shop Manager+)
El plugin Where Did You Hear About Us Checkout Field for WooCommerce para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de metadatos de pedido en todas las versiones hasta, e incluyendo, la 1.3.1 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos…
-
Vulnerabilidad en MailerLite – Signup forms (official) <= 1.7.6 – Falta de Autorización
El plugin MailerLite – Signup forms (official) para WordPress es vulnerable a cambios no autorizados en la configuración del plugin debido a la falta de comprobación de capacidades en las funciones toggleRolesAndPermissions y editAllowedRolesAndPermissions en todas las versiones hasta, e incluyendo, 1.7.6. Esto permite que atacantes no autenticados permitan a usuarios de nivel inferior modificar…