Ultimas Noticias
-
PDF Flipbook, 3D Flipbook – DearFlip <= 2.2.26 – Cross-Site Scripting almacenado autenticado (Contributor+)
En este reporte de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenado en el plugin PDF Flipbook, 3D Flipbook – DearFlip para WordPress, hasta la versión 2.2.26. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuyente o superiores inyectar scripts web en páginas que serán ejecutados cada vez que un usuario acceda…
-
WooCommerce Conversion Tracking <= 2.0.11 – Autorización faltante a través de wcct_install_happy_addons
El complemento WooCommerce Conversion Tracking para WordPress presenta una vulnerabilidad de modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘wcct_install_happy_addons’ en versiones hasta y incluyendo la 2.0.11. Esto permite a atacantes autenticados, con acceso de suscriptor y superior, instalar el complemento Happy Elementor Addons. La vulnerabilidad…
-
Icons Font Loader <= 1.1.4 – Carga de archivos arbitrarios autenticados (Administrador+)
El plugin Icons Font Loader para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘upload’ en versiones hasta, e incluyendo, 1.1.4. Esto permite que atacantes autenticados, con acceso de administrador y superior, carguen archivos arbitrarios en el servidor del sitio afectado,…
-
Vulnerabilidad de autorización faltante en Woostify Sites Library
En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento de WordPress Woostify Sites Library. Esta vulnerabilidad, identificada como CVE-2023-6279, permite a usuarios autenticados actualizar opciones de blogs arbitrarios y establecerlos como ‘activados’, lo que podría llevar a un ataque de denegación de servicio (DoS) cuando se utiliza un nombre de opción…
-
Heateor Social Login <= 1.1.30 – Autenticación(Contributor+) Almacenado Cross-Site Scripting a través de Shortcode
En el presente informe de seguridad, se informa sobre una vulnerabilidad encontrada en el plugin Heateor Social Login para WordPress que permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenados a través de los shortcodes del plugin. Esta vulnerabilidad afecta a las versiones hasta la 1.1.30 del plugin y permite a atacantes autenticados con…
-
Pagelayer <= 1.7.9 – Cross-Site Scripting almacenada autenticada (Administrador+) a través del código Header/Footer
En este reporte de seguridad, se ha identificado una vulnerabilidad en el plugin de WordPress Page Builder: Pagelayer. Esta vulnerabilidad permite la ejecución de scripts maliciosos en páginas específicas a través del código Header/Footer. Es importante destacar que esto solo afecta a instalaciones de WordPress que tienen habilitada la opción de múltiples sitios o donde…
-
Easy Digital Downloads <= 3.2.6 – Cross-Site Scripting almacenada a través de opciones de precios variables
En este artículo, se discutirá una vulnerabilidad de seguridad en el plugin Easy Digital Downloads para WordPress. Se ha descubierto que la versión 3.2.6 y anteriores son susceptibles a un ataque de scripting de sitios cruzados almacenados, que permite a los atacantes inyectar scripts maliciosos en páginas específicas del sitio. La vulnerabilidad se origina en…