Ultimas Noticias
-
Vulnerabilidad de Subida de Archivos sin Autenticación en Royal Elementor Addons and Templates <= 1.3.94
El plugin Royal Elementor Addons and Templates para WordPress es vulnerable a subidas limitadas de archivos debido a la falta de validación de tipos de archivos en la función ‘file_validity’ en todas las versiones hasta, e incluyendo, la 1.3.94. Esto permite que atacantes no autenticados suban tipos de archivos peligrosos como .svgz en el servidor…
-
Vulnerabilidad en SmartCrawl WordPress SEO checker, SEO analyzer, SEO optimizer <= 3.10.2 – Falta de Autorización
La vulnerabilidad conocida como Missing Authorization en el plugin SmartCrawl WordPress SEO checker, SEO analyzer, SEO optimizer permite a atacantes sin autenticar inyectar descripciones ld+json no autorizadas, pudiendo guardar tipos de esquemas sin permiso. El problema radica en la función save_settings de todas las versiones hasta la 3.10.2, donde no se realiza una verificación de…
-
MaxGalleria <= 6.4.2 – Falta de Autorización
El plugin MaxGalleria para WordPress es vulnerable a la carga no autorizada de imágenes debido a la falta de una verificación de capacidades en la función add_media_library_images_to_gallery en todas las versiones hasta, e incluyendo, la 6.4.2. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, suban imágenes arbitrarias a una galería. Los usuarios…
-
User Registration – Plugin de WordPress Vulnerable a Escalada de Privilegios
El plugin User Registration – Custom Registration Form, Login Form, and User Profile para WordPress es vulnerable a escalada de privilegios debido a la falta de comprobación de capacidades en la función form_save_action() en todas las versiones hasta, e incluyendo, la 3.1.5. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar…
-
Frontend Admin by DynamiApps <= 3.19.4 – Manipulación de Formularios debido a un Manejo Incorrecto de Excepciones de Encriptación Ausente
El plugin Frontend Admin by DynamiApps para WordPress es vulnerable a un manejo incorrecto de excepciones de encriptación ausente en la función ‘fea_encrypt’ en todas las versiones hasta, e incluyendo, la 3.19.4. Esto permite a atacantes no autenticados manipular los formularios de procesamiento de usuarios, lo que puede utilizarse para agregar y editar usuarios administradores…
-
Happy Addons para Elementor <= 3.10.5 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de Image Stack Group, Photo Stack & Horizontal Timeline
El complemento Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets Image Stack Group, Photo Stack & Horizontal Timeline en todas las versiones hasta, e incluyendo, la 3.10.4 debido a una insuficiente sanitización de entradas y escape de salida en atributos proporcionados por el usuario. Esto permite…
-
Happy Addons for Elementor <= 3.10.5 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de etiquetas HTML
El complemento Happy Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de etiquetas HTML en widgets en todas las versiones hasta, e incluyendo, 3.10.5 debido a una insuficiente sanitización de entradas y escapado de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel…