Ultimas Noticias
-
Charitable – Plugin de Donaciones para WordPress – Recaudación de Fondos con Donaciones Periódicas y Más <= 1.8.3 – Cross-Site Scripting Reflejado
El plugin Charitable – Plugin de Donaciones para WordPress – Recaudación de Fondos con Donaciones Periódicas y Más para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg y remove_query_arg sin escapado adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.8.3. Esto permite a atacantes no autenticados inyectar…
-
WordPress Campos Extra de Usuario <= 16.5 – Subida de Archivos Arbitrarios no Autenticada
El plugin WordPress User Extra Fields para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ajax_manage_file_chunk_upload() en todas las versiones hasta, e incluyendo, la 16.5. Esto hace posible que atacantes no autenticados suban archivos arbitrarios al servidor del sitio afectado, lo…
-
Vulnerabilidad de XSS Reflejado en el Plugin SysBasics Customize My Account para WooCommerce <= 2.7.29 a través del parámetro de pestaña
El plugin SysBasics Customize My Account para WooCommerce en WordPress es vulnerable a XSS Reflejado a través del parámetro ‘tab’ en todas las versiones hasta, e incluyendo, la 2.7.29 debido a la insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán…
-
Contact Form 7 – PayPal & Stripe Add-on <= 2.3.1 – Cross-Site Scripting Reflejado
La vulnerabilidad CVE-2024-10683 afecta al plugin Contact Form 7 – PayPal & Stripe Add-on para WordPress, permitiendo a atacantes reflejar scripts maliciosos en páginas web si engañan a un usuario para que realice una acción como hacer clic en un enlace. El plugin utiliza add_query_arg & remove_query_arg sin escape adecuado en la URL, lo que…
-
Vulnerabilidad en WP Membership <= 1.6.2 – Subida de Archivos Arbitrarios sin Autenticación
El plugin WP Membership para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función user_profile_image_upload() en todas las versiones hasta, e incluyendo, la 1.6.2. Esto permite que atacantes sin autenticación suban archivos arbitrarios en el servidor del sitio afectado, lo que puede…
-
Vulnerabilidad de Inyección de SQL basada en tiempo en el Plugin WordPress Poll Maker <= 5.4.6 – Autenticada (Administrador+)
El plugin Poll Maker – Encuestas Versus, Encuestas Anónimas, Encuestas de Imágenes para WordPress es vulnerable a una inyección de SQL basada en tiempo a través del parámetro ‘orderby’ en todas las versiones hasta, e incluyendo, la 5.4.6 debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente…
-
Quform – WordPress Form Builder <= 2.20.0 – Exposición de Información Sensible sin Autenticación
La vulnerabilidad de Exposición de Información Sensible en el plugin Quform – WordPress Form Builder para WordPress pone en riesgo la información sensible de los usuarios al permitir que atacantes no autenticados accedan a datos importantes. Esta vulnerabilidad afecta a todas las versiones hasta la 2.20.0 a través de la función ‘saveUploadedFile’. Esto permite a…