Ultimas Noticias
-
Vulnerabilidad en BackUpWordPress <= 3.13 – Traversal de Directorio Autenticado (Admin+)
El plugin BackUpWordPress para WordPress es vulnerable a la Traversal de Directorio en todas las versiones hasta, e incluyendo, la 3.13 a través del parámetro hmbkp_directory_browse. Esto permite a atacantes autenticados, con acceso de nivel administrador y superior, atravesar directorios fuera del contexto en el que el plugin debería permitir. Los usuarios afectados por esta…
-
Vulnerabilidad de Inyección SQL en WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado <= 4.6.9 – Autenticado (Contributor+) a través de Shortcodes
El plugin WP ULike – Conjunto de Herramientas de Marketing de WordPress más Avanzado es vulnerable a Inyección SQL a través de los atributos ‘status’ e ‘id’ de los shortcodes ‘wp_ulike_counter’ y ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a un escape insuficiente en el parámetro suministrado por el usuario y…
-
Form Maker by 10Web <= 1.15.24 – Autenticado (Suscriptor+) Almacenado Self-Based Cross-Site Scripting
La vulnerabilidad CVE-2024-2258 en el plugin Form Maker by 10Web para WordPress permite a atacantes autenticados con nivel de suscriptor o superior inyectar scripts web arbitrarios en páginas del sitio. La falta de saneamiento de la entrada y de escape de la salida en el plugin Form Maker by 10Web – Mobile-Friendly Drag & Drop…
-
Vulnerabilidad de Cross-Site Scripting en WP ULike <= 4.6.9 a través de Shortcode
El plugin WP ULike para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wp_ulike’ en todas las versiones hasta, e incluyendo, la 4.6.9 debido a una insuficiente sanitización de entrada y escape de salida en el atributo ‘wrapper_class’ proporcionado por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en WPC Composite Products para WooCommerce <= 7.2.7
La vulnerabilidad conocida como ‘Cross-Site Scripting’ (XSS) en el plugin WPC Composite Products para WooCommerce en versiones hasta la 7.2.7 permite a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web. El plugin WPC Composite Products para WooCommerce es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘wooco_components[0][name]’ en todas las versiones hasta…
-
Vulnerabilidad de Cross-Site Scripting en WP ULike <= 4.6.9
El plugin WP ULike – Most Advanced WordPress Marketing Toolkit para WordPress es vulnerable a Cross-Site Scripting almacenado a través del nombre de visualización de un usuario en todas las versiones hasta, e incluyendo, la 4.6.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de…
-
Vulnerabilidad en Admin Bar Remover <= 1.0.2.2 – Falta de Autorización para Actualizar Configuraciones (Suscriptor+)
El plugin Admin Bar Remover para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función update_form() en todas las versiones hasta, e incluyendo, la 1.0.2.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, habilitar o deshabilitar la barra…