Ultimas Noticias
-
Instant Images <= 6.1.0 – Actualización arbitraria de opciones autenticadas (Autor+)
El plugin Instant Images – One Click Image Uploads from Unsplash, Openverse, Pixabay and Pexels para WordPress es vulnerable a una actualización no autorizada de opciones debido a una verificación insuficiente que no verifica si la opción actualizada pertenece al plugin en el punto final instant-images/license REST API en todas las versiones hasta, e incluyendo,…
-
Order Delivery Date for WP e-Commerce <= 1.2 – Cross-Site Scripting sin autenticación almacenada
El complemento Order Delivery Date for WP e-Commerce para WordPress es vulnerable a Cross-Site Scripting almacenada a través del parámetro ‘available-days-tf’ en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Vulnerabilidad de Cross-Site Scripting almacenada autenticada (Administrator+) en el plugin SEO de Squirrly SEO <= 12.3.15 a través de la configuración del plugin
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de SEO de Squirrly SEO para WordPress que permite a los atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en las páginas del sitio. Esto puede conducir a ataques de Cross-Site Scripting almacenada, lo que pone en riesgo…
-
WP Dashboard Notes <= 1.0.10 – Falta de Autorización para la Actualización Arbitraria de Notas Privadas
La vulnerabilidad de la falta de autorización en el plugin WP Dashboard Notes para WordPress permite a atacantes autenticados y con nivel de acceso de contribuidor o superior, modificar notas privadas creadas por otros usuarios. El plugin WP Dashboard Notes para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta…
-
Vulnerabilidad de Cross-Site Scripting almacenada a través de Allow SVG <= 1.1 – Authenticated (Author+)
En este informe de seguridad, analizaremos una vulnerabilidad crítica en el complemento Allow SVG para WordPress. Esta vulnerabilidad, identificada como CVE-2023-6541, permite a atacantes autenticados inyectar scripts maliciosos en páginas web, lo que puede llevar a ataques de tipo Cross-Site Scripting (XSS). La descripción corta de esta vulnerabilidad nos indica que el problema radica en…
-
coreActivity <= 1.8 – Cross-Site Scripting (XSS) almacenado sin autenticación
En este artículo se abordará la vulnerabilidad de Cross-Site Scripting (XSS) almacenado sin autenticación en el plugin coreActivity, utilizado en WordPress. Esta vulnerabilidad puede permitir a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a dichas páginas inyectadas. El plugin coreActivity para WordPress es vulnerable…
-
(Simply) Guest Author Name <= 4.34 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin (Simply) Guest Author Name para WordPress. Esta vulnerabilidad, identificada como CVE-2024-0254, permite la ejecución de scripts maliciosos en páginas web, comprometiendo la seguridad de tu sitio. El plugin (Simply) Guest Author Name para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenada debido a…