Ultimas Noticias
-
The Plus Addons for Elementor <= 5.3.3 – Cross-Site Scripting almacenado (Contributor+) Autenticado
El complemento The Plus Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, la versión 5.3.3 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en…
-
Popup More <= 2.2.4 – Ruta de directorio truncada autenticada (Admin+) a Inclusión de archivos locales limitada
El complemento Popup More Popups, Lightboxes y más ventanas emergentes para WordPress es vulnerable a la Inclusión de archivos locales en la versión 2.1.6 a través de la función ycfChangeElementData(). Esto permite que atacantes autenticados, con acceso de nivel de administrador y superior, incluyan y ejecuten archivos arbitrarios que terminan con ‘Form.php’ en el servidor,…
-
UserPro <= 5.1.6 – Bypass de registro de membresía deshabilitada
El plugin UserPro para WordPress es vulnerable a un Bypass de Característica de Seguridad en todas las versiones hasta, e incluyendo, la 5.1.6. Esto se debe al uso de restricciones en el lado del cliente para hacer cumplir la característica de ‘Registro deshabilitado’ de membresía dentro de la configuración general del plugin. Esto permite a…
-
Calculated Fields Form <= 1.2.52 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Calculated Fields Form para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode CP_CALCULATED_FIELDS del plugin en todas las versiones hasta, e incluyendo, la 1.2.52 debido a una insuficiente sanitización de la entrada y escape de salida en el atributo ‘location’ proporcionado por el usuario. Esto permite a atacantes autenticados con…
-
ARMember <= 4.0.24 – Control de acceso inadecuado que expone información sensible a través de la API REST
El plugin ARMember para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 1.0.21 a través de la API REST. Esto permite que atacantes no autenticados eviten la característica de ‘Restricción por defecto’ del plugin y vean contenido restringido de publicaciones. La vulnerabilidad de control de acceso inadecuado…
-
Vulnerabilidad de Inyección de Objetos en ProductX – WooCommerce Builder & Gutenberg WooCommerce Blocks <= 3.1.4
En este reporte de seguridad se ha identificado una vulnerabilidad de deserialización de datos no confiables en el plugin ProductX – WooCommerce Builder & Gutenberg WooCommerce Blocks para WordPress. Esta vulnerabilidad permite a atacantes no autenticados inyectar un Objeto PHP y potencialmente ejecutar código malicioso, eliminar archivos o acceder a datos sensibles en el sistema…
-
Orbit Fox by ThemeIsle <= 2.10.28 – Falta de Autorización
En este artículo, discutiremos la vulnerabilidad de la falta de autorización en el plugin Orbit Fox by ThemeIsle para WordPress. Esta vulnerabilidad permite que usuarios no autenticados modifiquen datos de manera no autorizada, lo que podría comprometer la seguridad del sitio web. El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a la modificación…