Ultimas Noticias
-
MasterStudy LMS Plugin de WordPress: Inyección de SQL no autenticada
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin MasterStudy LMS para WordPress que permite la inyección de SQL no autenticada. Esta vulnerabilidad podría ser aprovechada por atacantes no autenticados para extraer información sensible de la base de datos. El plugin MasterStudy LMS WordPress Plugin – for Online Courses and Education, en…
-
TNC PDF viewer <= 2.8.0 – Cross-Site Scripting almacenada autenticada (Contributor+) a través de shortcode
En este reporte de seguridad se ha encontrado una vulnerabilidad en el complemento TNC PDF viewer para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web maliciosos en páginas, lo que puede llevar a ataques de Cross-Site Scripting almacenada. El complemento TNC PDF viewer versiones 2.8.0 y anteriores…
-
Piraeus Bank WooCommerce Payment Gateway <= 1.6.5.1 – Inyección SQL no autenticada
El complemento del Piraeus Bank WooCommerce Payment Gateway para WordPress es vulnerable a una inyección SQL basada en el tiempo a través del parámetro ‘MerchantReference’ en todas las versiones hasta, e incluyendo, la 1.6.5.1 debido a un escapado insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta…
-
My Private Site <= 3.0.14 – Acceso inadecuado al control de información sensible a través de la REST API
El complemento My Private Site para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 3.0.14 a través de la REST API. Esto permite que atacantes no autenticados eludan la función de privacidad del sitio del complemento y vean contenido restringido de páginas y publicaciones. El complemento My…
-
Ocean Extra <= 2.2.4 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
En este reporte de seguridad hemos identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Ocean Extra para WordPress, que afecta a todas las versiones hasta la 2.2.4. Esta vulnerabilidad permite a atacantes autenticados, con niveles de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que…
-
WP Maintenance <= 6.1.6 – Exposición de información
El plugin WP Maintenance para WordPress es vulnerable a la Exposición de Información en todas las versiones hasta, e incluyendo, 6.1.6 a través de la API REST. Esto permite a atacantes no autenticados evitar el modo de mantenimiento del plugin y obtener el contenido de publicaciones y páginas a través de la API REST. La…
-
Microsoft Clarity <= 0.9.3 – Cross-Site Request Forgery a Stored Cross-Site Scripting
En este artículo hablaremos sobre una vulnerabilidad de seguridad encontrada en el complemento Microsoft Clarity para WordPress. Esta vulnerabilidad, conocida como Cross-Site Request Forgery (CSRF), permite a atacantes no autenticados cambiar el ID del proyecto y agregar código JavaScript malicioso a través de una solicitud falsificada. Todo esto puede ocurrir si logran engañar a un…