Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el plugin Black Widgets For Elementor <= 1.3.7
El plugin Black Widgets For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.3.7 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar…
-
W3SPEEDSTER <= 7.26 – Ejecución remota de código autenticada (Administrador+)
El plugin W3SPEEDSTER para WordPress es vulnerable a la Ejecución Remota de Código en todas las versiones hasta, e incluyendo, la 7.26 a través del parámetro ‘script’ de la función hookBeforeStartOptimization(). Esto se debe a que el plugin pasa la entrada proporcionada por el usuario a eval(). Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin HT Team Member
En este reporte se analiza la vulnerabilidad de Cross-Site Scripting presente en el plugin HT Team Member, que puede ser explotada por atacantes autenticados con nivel de contribuidor o superior. El plugin WP Team – WordPress Team Member Plugin en su versión 1.1.4 y anteriores es vulnerable a Cross-Site Scripting almacenado a través del shortcode…
-
Vulnerabilidad de Cross-Site Scripting en WPAdverts – Plugin de Anuncios Clasificados <= 2.1.6
El plugin WPAdverts – Plugin de Anuncios Clasificados para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode adverts_add en todas las versiones hasta, e incluyendo, la 2.1.6 debido a la insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Download Monitor <= 5.0.13 – Falta de Autorización para Exposición de Información Sensible
El plugin Download Monitor para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función ajax_search_users en todas las versiones hasta, e incluyendo, la 5.0.13. Esto permite que atacantes autenticados, con acceso a nivel de Suscriptor y superior, obtengan nombres de usuario y correos…
-
Plugin de Tablas de Precios WordPress – Easy Pricing Tables <= 3.2.5 – Cross-Site Scripting Reflejado
La vulnerabilidad de Cross-Site Scripting Reflejado en el plugin de WordPress Pricing Tables – Easy Pricing Tables permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas web si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 3.2.5 y anteriores del plugin Pricing Tables…
-
Code Explorer <= 1.4.5 – Lectura de Archivos Externos Autenticada (Admin+)
El plugin Code Explorer para WordPress es vulnerable a la lectura arbitraria de archivos externos en todas las versiones hasta, e incluyendo, la 1.4.5. Esto se debe a que el plugin no restringe el acceso a archivos fuera de la instancia de WordPress, a pesar de que la intención del plugin es solo acceder a…