Ultimas Noticias
-
Product Import Export for WooCommerce <= 2.3.7 – Carga de archivos arbitrarios autenticada (Administrador de tienda+) a través de upload_import_file
El complemento Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘upload_import_file’ en todas las versiones hasta, e incluyendo, la 2.3.7. Esto permite a atacantes autenticados, con acceso de Administrador de tienda o superior, cargar archivos…
-
Fluent Forms <= 5.1.5 – Autenticación (Administrador+) Stored Cross-Site Scripting a través del título del formulario importado
La vulnerabilidad conocida como Cross-Site Scripting (XSS) es una de las principales preocupaciones en términos de seguridad web. En este informe, analizaremos una vulnerabilidad específica en el plugin ‘Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms’, que permite a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium <= 2.3.2
En este post te informaremos sobre una vulnerabilidad de Cross-Site Scripting almacenada en la versión 2.3.2 y anteriores del plugin GeneratePress Premium para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior, inyectar scripts web maliciosos en páginas específicas del sitio. La vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Stock Locations for WooCommerce <= 2.5.9 a través de la configuración del administrador
El plugin Stock Locations for WooCommerce para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting (XSS) almacenada a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 2.5.9 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados con permisos de nivel…
-
Importar y exportar usuarios y clientes <= 1.24.6 – Autorización faltante a través del punto final fire_cron REST
En este informe de seguridad se ha identificado una vulnerabilidad en el plugin Importar y exportar usuarios y clientes para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a una comprobación incorrecta de capacidades en la función fire_cron en las versiones hasta, e incluyendo, 1.24.6. Esto hace posible que atacantes no autenticados…
-
Unlimited Addons for WPBakery Page Builder <= 1.0.42 – Carga de archivos arbitraria autenticada (Editor+)
En este reporte de seguridad se ha descubierto una vulnerabilidad en el plugin Unlimited Addons for WPBakery Page Builder de WordPress que permite la carga de archivos arbitrarios debido a una validación insuficiente del tipo de archivo. Esta vulnerabilidad puede ser aprovechada por atacantes autenticados con un rol al que el administrador haya otorgado acceso…
-
Vulnerabilidad de XSS almacenada en WP Recipe Maker <= 9.1.0 – (Contributor+) Stored Cross-Site Scripting a través de Recipe Notes
Esta entrada informa sobre una vulnerabilidad de seguridad en el plugin WP Recipe Maker para WordPress, en versiones anteriores o iguales a 9.1.0. La vulnerabilidad se refiere a una mala neutralización de la entrada durante la generación de páginas web, conocida como ‘Cross-Site Scripting’ (XSS), que puede ser explotada por atacantes autenticados con permisos de…