Ultimas Noticias
-
WP Club Manager – Plugin de club deportivo de WordPress <= 2.2.10 – Falta de autorización para actualizar los enlaces permanentes de eventos no autenticados
El plugin WP Club Manager – Plugin de club deportivo de WordPress para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función settings_save() en todas las versiones hasta, e incluyendo, la 2.2.10. Esto permite que atacantes no autenticados actualicen la estructura de enlaces…
-
WP 404 Auto Redirect to Similar Post <= 1.0.3 – Reflejo de scripting de sitios cruzados a través de una solicitud
El complemento WP 404 Auto Redirect to Similar Post para WordPress es vulnerable a Reflejo de Scripting de Sitios Cruzados a través del parámetro ‘request’ en todas las versiones hasta, e incluyendo, la versión 1.0.3 debido a una sanitización insuficiente de la entrada y a la falta de escapado de salida. Esto permite que atacantes…
-
Vulnerabilidad de acceso no autorizado en Advanced Forms for ACF <= 1.9.3.2
El plugin Advanced Forms for ACF para WordPress es vulnerable a un acceso no autorizado de datos debido a una falta de verificación de capacidades en la función export_json_file() en todas las versiones hasta, e incluyendo, la 1.9.3.2. Esto permite a atacantes no autenticados exportar la configuración de formularios. La vulnerabilidad en Advanced Forms for…
-
BookIt <=2.4.0 – Bypass de Precio
El plugin Booking Calendar | Appointment Booking | BookIt para WordPress es vulnerable al Bypass de Precio en versiones hasta y incluyendo la 2.4.0. Esto permite a los propietarios del sitio utilizar las funciones premium del plugin sin pagar. Cabe destacar que esto no afecta negativamente de manera importante a los propietarios del sitio. La…
-
Meta Box – Framework de campos personalizados de WordPress <= 5.9.2 – Cross-Site Scripting almacenado autenticado (Contributor+)
El plugin Meta Box – Framework de campos personalizados de WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de valores de metadatos personalizados de publicaciones mostrados a través del shortcode del plugin en todas las versiones hasta, e incluyendo, 5.9.2 debido a una sanitización insuficiente de la entrada y escape insuficiente de…
-
Load More Anything <= 3.3.3 – Falta de Autorización para la Modificación de Configuraciones del Plugin
El plugin Load More Anything para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función ald_save_option_ajax_function en todas las versiones hasta, e incluyendo, la 3.3.3. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, modificar las configuraciones del plugin.…
-
Shield Security – Bloqueo de bots inteligentes y seguridad de prevención de intrusos <= 18.5.9 – Inclusión de archivos locales sin autenticación
En este artículo se abordará una vulnerabilidad de Inclusión de Archivos Locales sin autenticación en la versión 18.5.9 y anteriores del plugin Shield Security – Bloqueo de bots inteligentes y seguridad de prevención de intrusos para WordPress. Se explicará cómo un atacante no autenticado puede aprovechar esta vulnerabilidad para incluir y ejecutar archivos PHP en…