Ultimas Noticias
-
RevivePress – Mantén tu contenido antiguo siempre actualizado <= 1.5.6 – Falta de Autorización
El plugin RevivePress – Mantén tu contenido antiguo siempre actualizado para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a la falta de una verificación de capacidad en las funciones import_data y copy_data en todas las versiones hasta, e incluyendo, la 1.5.6. Esto permite a atacantes autenticados, con acceso de nivel…
-
Título: Vulnerabilidad de Cross-Site Scripting Almacenado en Animated Headline <= 4.0 a través de Shortcode
El plugin Animated Headline para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘animated-headline’ en todas las versiones hasta la 4.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad…
-
Order Tip para WooCommerce <= 1.3.1 – Falta de Autorización para Exportación de Datos no Autenticados
El plugin Order Tip para WooCommerce en WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de verificación de capacidades en la función export_tips_to_csv() en todas las versiones hasta, e incluyendo, la 1.3.1. Esto permite a atacantes no autenticados exportar las tarifas de pedido del plugin. La vulnerabilidad identificada como…
-
Vulnerabilidad en plugin Coming Soon, Under Construction & Maintenance Mode By Dazzler <= 2.1.2 – Bypass de Modo de Mantenimiento
El plugin Coming Soon, Under Construction & Maintenance Mode By Dazzler para WordPress es vulnerable a un bypass de modo de mantenimiento en todas las versiones hasta, e incluyendo, la 2.1.2. Esto se debe a que el plugin se basa en REQUEST_URI para determinar si la página que se está accediendo es un área de…
-
Vulnerabilidad de Inyección SQL en create by mediavine <= 1.9.4 a través de 'id'
La vulnerabilidad de Inyección SQL en el plugin Create by Mediavine para WordPress permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes para extraer información sensible de la base de datos. La versión 1.9.4 y anteriores del plugin Create by Mediavine para WordPress son vulnerables a un ataque de Inyección SQL…
-
Gum Elementor Addon <= 1.3.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Widget Meta de Publicaciones
El plugin Gum Elementor Addon para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Meta de Publicaciones en todas las versiones hasta, e incluyendo, la 1.3.2 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, inyectar…
-
Advanced Classifieds & Directory Pro <= 3.0.0 – Ausencia de Autorización para Borrar Adjuntos Arbitrarios
El plugin Advanced Classifieds & Directory Pro para WordPress es vulnerable a la pérdida no autorizada de datos debido a la ausencia de comprobación de capacidad en la función ajax_callback_delete_attachment en todas las versiones hasta, e incluyendo, la 3.0.0. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen cargas de medios arbitrarias.…