Ultimas Noticias
-
ProfilePress <= 4.15.1 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del shortcode profilepress-edit-profile
El plugin Paid Membership, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 4.15.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados…
-
Vulnerabilidad de Cross-Site Scripting en Archivist – Custom Archive Templates <= 1.7.5
El plugin Archivist – Custom Archive Templates para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘shortcode_attributes’ en todas las versiones hasta, e incluyendo, la 1.7.5 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan…
-
Ultimate Member – User Profile, Registro, Inicio de Sesión, Directorio de Miembros, Restricción de Contenido y Plugin de Membresía 2.1.3 – 2.8.2 – Inyección SQL no autenticada
El plugin Ultimate Member para WordPress es vulnerable a una Inyección SQL no autenticada, lo que podría permitir a atacantes no autenticados extraer información sensible de la base de datos. La vulnerabilidad se encuentra en la versión 2.1.3 a 2.8.2 del plugin Ultimate Member, específicamente en el parámetro ‘sorting’, donde no se realiza un escape…
-
YML for Yandex Market <= 4.2.3 – Cross-Site Scripting Reflejado
El plugin YML for Yandex Market para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro feed_id en todas las versiones hasta, e incluyendo, 4.2.3 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si…
-
Colibri WP <= 1.0.94 – Cross-Site Request Forgery para Instalación Limitada de Plugins
El tema de Colibri WP para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.94. Esto se debe a la falta o validación incorrecta del nonce en la función colibriwp_install_plugin(). Esto hace posible que atacantes no autenticados instalen plugins recomendados a través de una solicitud falsificada siempre que…
-
Colibri Page Builder <= 1.0.253 – Cross-Site Request Fogery via cp_shortcode_refresh
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.0.253. Esto se debe a la falta o validación incorrecta de nonce en la función cp_shortcode_refresh(). Esto hace posible que atacantes no autenticados ejecuten shortcodes arbitrarios a través de una solicitud falsificada siempre…
-
Colibri Page Builder <= 1.0.253 – Cross-Site Request Fogery vía extend_builder
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin Colibri Page Builder para WordPress en todas las versiones hasta, e incluyendo, la 1.0.253. Esto se debe a la validación incorrecta o ausente de nonce en la función apiCall(). Esto permite que atacantes no autenticados llamen a un conjunto limitado de funciones que pueden ser utilizadas…