Ultimas Noticias
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Falta de Autorización para la Modificación del Estado de Marcador no Autenticado
El plugin de WordPress Admin side data storage for Contact Form 7 es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función zt_dcfcf_change_bookmark() en todas las versiones hasta, e incluyendo, la 1.1.1. Esto permite a atacantes no autenticados alterar estados de marcadores. La falta de autorización…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Tabs Shortcode and Widget <= 1.17 para WordPress
El plugin Tabs Shortcode and Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 1.17 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados con…
-
Página de Mantenimiento <= 1.0.8 – Falta de Autorización para Exposición de Información Sensible
El plugin de Mantenimiento de Página para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función subscribe_download enganchada a través de la acción AJAX en todas las versiones hasta, e incluyendo, la 1.0.8. Esto hace posible que atacantes autenticados, con acceso de suscriptor…
-
Página de Mantenimiento <= 1.0.8 – Bypass de Mecanismo de Seguridad a través de la REST API
El plugin de Página de Mantenimiento para WordPress es vulnerable a una Exposición de Información Básica en todas las versiones hasta, e incluyendo, la 1.0.8 a través de la REST API. Esto permite que atacantes no autenticados puedan ver los títulos y contenido de las publicaciones cuando el sitio se encuentra en modo de mantenimiento.…
-
Academy LMS – Solución de eLearning y cursos en línea para WordPress <= 1.9.19 – Escalada de Privilegios Autenticada (Suscriptor+)
La vulnerabilidad CVE-2024-1505 se refiere a un problema de gestión incorrecta de privilegios en el plugin Academy LMS – Solución de eLearning y cursos en línea para WordPress, afectando a todas las versiones hasta la 1.9.19. Esta vulnerabilidad permite a atacantes autenticados, con permisos mínimos como estudiantes, elevar su rol de usuario a administrador a…
-
Event Tickets and Registration <= 5.8.1 – Falta de Autorización
El plugin Event Tickets and Registration para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidades en la acción ’email’ en todas las versiones hasta, e incluyendo, la 5.8.1. Esto hace posible que atacantes autenticados, con acceso de nivel contribuyente y superior, envíen por correo electrónico…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin User Feedback de WordPress
El plugin User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que afecta a las versiones hasta 1.0.13. Esta vulnerabilidad permite a atacantes no autenticados insertar scripts web arbitrarios en la página de envío de feedback, los cuales se ejecutarán al hacer…