Ultimas Noticias
-
Contests by Rewards Fuel <= 2.0.64 – Cross-Site Scripting almacenado autenticado (Contribuidor+) a través de update_rewards_fuel_api_key
El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘update_rewards_fuel_api_key’ en todas las versiones hasta, e incluyendo, la 2.0.64 debido a la insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web…
-
Contests by Rewards Fuel <= 2.0.62 – CSRF a XSS almacenado
El plugin Contests by Rewards Fuel para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.62. Esto se debe a la falta o validación incorrecta de nonce en la función ajax_handler(). Esto hace posible que atacantes no autenticados actualicen la configuración del plugin e inyecten JavaScript malicioso a…
-
Vulnerabilidad en WooCommerce POS que permite la divulgación de información
La vulnerabilidad en la versión 1.4.11 del plugin de WooCommerce POS para WordPress permite a usuarios autenticados acceder a información confidencial de otros usuarios. La falta de verificación adecuada de la autenticación y autorización del usuario actual en WooCommerce POS posibilita que atacantes autenticados, con acceso a nivel de cliente o superior, puedan ver información…
-
Smart Custom Fields <= 4.2.2 – Falta de Autorización para la Divulgación de Contenido de Post Autenticado (Suscriptor+)
El plugin Smart Custom Fields para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función relational_posts_search() en todas las versiones hasta, e incluyendo, la 4.2.2. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, puedan recuperar contenido de post…
-
Vulnerabilidad de Cross-Site Scripting almacenado en PowerPack Lite for Beaver Builder <= 1.3.0
El plugin PowerPack Lite for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del enlace en múltiples elementos en todas las versiones hasta, e incluyendo, 1.3.0 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de…
-
Qi Addons For Elementor <= 1.6.7 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
El plugin Qi Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 1.6.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con…
-
Permalink Manager <= 2.4.3.1 – Falta de autorización para modificar de forma arbitraria la URL de la entrada
La vulnerabilidad descubierta en el plugin Permalink Manager Lite para WordPress permite a atacantes autenticados, con permisos de autor y superiores, modificar de manera no autorizada la URL de entradas arbitrarias. El plugin Permalink Manager Lite para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades…