Ultimas Noticias
-
Payment Forms for Paystack <= 3.4.1 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de Shortcode
El complemento Payment Forms for Paystack para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del complemento en todas las versiones hasta, e incluyendo, 3.4.1 debido a una insuficiente sanitización de la entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos…
-
Podlove Podcast Publisher <= 4.0.11 – Falta de Autorización para Exportar Datos sin Autenticación
El plugin Podlove Podcast Publisher para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de una verificación de capacidad en las funciones init_download() e init() en todas las versiones hasta, e incluyendo, la 4.0.11. Esto permite a atacantes no autenticados exportar los datos de seguimiento del plugin y la…
-
Podlove Podcast Publisher <= 4.0.11 – Falta de autorización para importar configuraciones
El plugin Podlove Podcast Publisher para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función init() en todas las versiones hasta, e incluyendo, 4.0.11. Esto permite que atacantes no autenticados importen las configuraciones del plugin. El plugin Podlove Podcast Publisher es una…
-
Podlove Subscribe button <= 1.3.10 – Inyección SQL Autenticada (Contributor+)
El complemento Podlove Subscribe button para WordPress es vulnerable a una inyección de SQL basada en UNION a través del atributo ‘button’ del shortcode podlove-subscribe-button en todas las versiones hasta, e incluyendo, 1.3.10 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el widget de cronología para Elementor (Elementor Timeline, Vertical & Horizontal Timeline) <= 1.5.3 – Autenticado (Contributor+)
En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Timeline Widget For Elementor (Elementor Timeline, Vertical & Horizontal Timeline) para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar código JavaScript malicioso en las páginas del sitio web. A continuación, se…
-
Quiz Maker <= 6.5.2.4 – Autorización faltante para creación y modificación arbitraria de exámenes
En este reporte de seguridad, se destaca una vulnerabilidad en el plugin Quiz Maker para WordPress. Dicha vulnerabilidad permite la modificación no autorizada de datos debido a la falta de una verificación de capacidades en las funciones ays_quick_start() y add_question_rows() en todas las versiones hasta, e incluyendo, la versión 6.5.2.4. Esto significa que, los atacantes…
-
Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificación de solicitud entre sitios para actualizar las opciones del plugin
En este artículo, analizaremos una vulnerabilidad de Falsificación de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a través de una…