Ultimas Noticias
-
Responsive <= 5.0.2 – Falta de Autorización para Inyección de HTML
El tema Responsive para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función save_footer_text_callback en todas las versiones hasta, e incluyendo, la 5.0.2. Esto hace posible que atacantes no autenticados inyecten contenido HTML arbitrario en el pie de página del sitio. Los…
-
Vulnerabilidad de Inclusión Local de Archivos en HUSKY – Products Filter Professional for WooCommerce <= 1.3.5.2
La vulnerabilidad de Inclusión Local de Archivos en el plugin HUSKY – Products Filter Professional for WooCommerce permite a atacantes autenticados con privilegios de administrador e superiores incluir y ejecutar archivos arbitrarios en el servidor, lo que puede resultar en la ejecución de código PHP malicioso. La vulnerabilidad CVE-2024-3061, denominada ‘Improper Control of Filename for…
-
130+ Widgets | Mejores Complementos Para Elementor – GRATIS <= 1.4.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin 130+ Widgets | Mejores Complementos Para Elementor – GRATIS para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 1.4.2 debido a una sanitización insuficiente de la entrada y a la escapada de la salida en los atributos proporcionados por…
-
Vulnerabilidad en MasterStudy LMS <= 3.3.0 – Inclusión de Archivos Locales no Autenticada a través de modal
La vulnerabilidad en el plugin MasterStudy LMS para WordPress hasta la versión 3.3.0 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a través del parámetro ‘modal’. Esto puede dar lugar a la ejecución de código PHP malicioso, eludir controles de acceso, obtener datos sensibles y comprometer la seguridad del sitio.…
-
Pods – Tipos de Contenido Personalizados y Campos – Autorización Ausente
El plugin Pods – Tipos de Contenido Personalizados y Campos para WordPress es vulnerable a la Autorización Ausente en todas las versiones hasta, e incluyendo, la 3.0.10 (con la excepción de 2.7.31.2, 2.8.23.2, 2.9.19.2). Esto se debe a que el plugin permite el uso de una función de inclusión de archivos a través de una…
-
WP ERP <= 1.12.9 – Inyección de SQL autenticada (Gestor de Contabilidad+)
La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Solución completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a través del endpoint de la API REST erp/v1/accounting/v1/transactions/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Christmas Greetings <= 1.2.5
La vulnerabilidad CVE-2024-2116 en el plugin Christmas Greetings para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas y ejecutarlos si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. El plugin Christmas Greetings para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro…