Ultimas Noticias
-
Vulnerabilidad de Inyección SQL en Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce <= 6.9.1 – Autenticado (Suscriptor+) SQL Injection
La vulnerabilidad de inyección SQL en el plugin Conversios – Google Analytics 4 (GA4), Meta Pixel & más a través de Google Tag Manager para WooCommerce para WordPress permite a atacantes autenticados con acceso de suscriptor o superior, insertar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. La…
-
Vulnerabilidad en Redirects <= 1.2.1 – Falta de Autorización a través de la función save
El plugin Redirects para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función save en todas las versiones hasta, e incluyendo, la 1.2.1. Esto permite que atacantes no autenticados cambien redirecciones creadas con este plugin. Esto podría resultar en una redirección no…
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Oliver POS – A WooCommerce Point of Sale (POS) <= 2.4.1.8
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Oliver POS – A WooCommerce Point of Sale (POS) para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.4.1.8. Esto se debe a la falta o validación incorrecta del nonce en el archivo includes/class-pos-bridge-install.php. Esto permite a atacantes no autenticados realizar acciones no…
-
Vulnerabilidad de Bypass en Modo de Mantenimiento de Coming Soon Page & Maintenance Mode
El plugin Coming Soon Page & Maintenance Mode para WordPress es vulnerable a accesos no autorizados debido a una comprobación de URL incorrectamente implementada en la función wpsm_coming_soon_redirect en todas las versiones hasta, e incluyendo, la 2.2.1. Esto permite a atacantes no autenticados ver un sitio con el modo de mantenimiento o modo de próximamente…
-
Modo de Construcción/Mantenimiento de Acurax <= 2.6 – Exposición de Información
El plugin Modo de Construcción/Mantenimiento de Acurax para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6 a través de la API REST. Esto permite que atacantes no autenticados puedan obtener el contenido de entradas y páginas cuando el modo de mantenimiento está activo, eludiendo así…
-
Yuki <= 1.3.13 – Falta de autorización para restablecer la configuración del tema siendo un Usuario autenticado (Suscriptor+)
La vulnerabilidad de la Tema Yuki para WordPress consiste en una modificación no autorizada de datos debido a la ausencia de una verificación de capacidades en la función reset_customizer_options() en todas las versiones hasta, e incluyendo, la 1.3.13. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, restablecer la configuración del tema.…
-
Yuki <= 1.3.14 – CSRF para Restablecer Configuración del Tema
El tema Yuki para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.3.14. Esto se debe a una validación de nonce faltante o incorrecta en la función reset_customizer_options(). Esto hace posible que atacantes no autenticados restablezcan la configuración del tema a través de una solicitud falsificada siempre que…