Ultimas Noticias
-
User Shortcodes Plus <= 2.0.2 – Referencia Directa a Objetos Insegura para Divulgación de Información Sensible de Usuarios Autenticados (Contributor+) a través del shortcode user_meta
El plugin User Shortcodes Plus para WordPress es vulnerable a Referencia Directa a Objetos Insegura en todas las versiones hasta, e incluyendo, la 2.0.2 a través del shortcode user_meta debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso a nivel de contribuidor y superior,…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Event Manager <= 3.1.41
El plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro del plugin en todas las versiones hasta, e incluyendo, la 3.1.41 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados…
-
Duitku Payment Gateway <= 2.11.4 – Falta de Autorización a través de check_duitku_response
El plugin de Duitku Payment Gateway para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función check_duitku_response en todas las versiones hasta, e incluyendo, la 2.11.4. Esto permite que atacantes no autenticados cambien el estado de pago de pedidos a fallidos. La…
-
Edición Masiva de Títulos de Entradas <= 5.0.0 – Falta de Autorización a través de bulkUpdatePostTitles
El plugin Bulk Edit Post Titles para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función bulkUpdatePostTitles en todas las versiones hasta, e incluyendo, la 5.0.0. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, modifiquen los títulos de…
-
Vulnerabilidad CSRF en Gestpay for WooCommerce <= 20221130 a través de ajax_set_default_card
La vulnerabilidad CSRF (Cross-Site Request Forgery) en el plugin Gestpay for WooCommerce para WordPress afecta a todas las versiones hasta, e incluyendo, la 20221130. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en la función ‘ajax_set_default_card’. Esto permite a atacantes no autenticados establecer el token de tarjeta predeterminado para un usuario…
-
ArtiBot Free Chat Bot for WordPress WebSites <= 1.1.6 – Falta de Autorización para la Actualización de Configuraciones
El plugin ArtiBot Free Chat Bot for WordPress WebSites para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función artibot_update en todas las versiones hasta, e incluyendo, la 1.1.6. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen…
-
Notificaciones de Orden de Alerta SMS – WooCommerce <= 3.6.9 – Cross-Site Request Forgery
El plugin de WordPress SMS Alert Order Notifications – WooCommerce es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.6.9. Esto se debe a una validación incorrecta o ausente de nonce en la función processBulkAction. Esto hace posible que atacantes no autenticados eliminen páginas y publicaciones a través de una…