Ultimas Noticias
-
Vulnerabilidad de Inyección de Objetos PHP no Autenticada en Clone <= 2.4.6 a través de 'recursive_unserialized_replace'
La vulnerabilidad en el plugin Clone para WordPress permite la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 2.4.6 mediante la deserialización de entrada no confiable en la función ‘recursive_unserialized_replace’. Esto permite a atacantes no autenticados inyectar un Objeto PHP. No se ha detectado una cadena POP conocida en el software…
-
WP Project Manager <= 2.6.14 – Falta de Autorización para Crear/Eliminar Proyectos y Tareas
El plugin WP Project Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en el método ‘check’ de las clases ‘Create_Milestone’, ‘Create_Task_List’, ‘Create_Task’ y ‘Delete_Task’ en la versión 2.6.14. Esto permite a atacantes no autenticados crear hitos, crear listas de tareas, crear tareas…
-
Getwid – Gutenberg Blocks <= 2.0.12 – Cross-Site Scripting (XSS) Almacenado autenticado (Contribuyente+)
Introducción no proporcionada Para mitigar este riesgo, se recomienda actualizar el plugin Getwid – Gutenberg Blocks a la última versión disponible. Además, se puede restringir las capacidades de los usuarios, limitando la cantidad de usuarios con roles de Contribuyente y superior, o implementar un filtro de contenido para evitar la ejecución de scripts maliciosos. Es…
-
Plugin Save as PDF by Pdfcrowd <= 4.2.1 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Save as PDF by Pdfcrowd para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin Save as PDF by Pdfcrowd para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘save_as_pdf_pdfcrowd’ del plugin en todas las versiones hasta,…
-
MStore API <= 4.15.7 – Inyección de SQL Autenticada (Suscriptor+)
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘status_type’ en todas las versiones hasta, e incluyendo, la 4.15.7 debido a un escape insuficiente en el parámetro provisto por el usuario y falta de preparación suficiente en la…
-
Vulnerabilidad en Yaad Sarig Payment Gateway For WC <= 2.2.4 – Falta de Autorización para Lectura/Borrado de Logs por Usuarios Autenticados (Suscriptores+)
El plugin Yaad Sarig Payment Gateway For WC para WordPress es vulnerable a la modificación y acceso no autorizado de datos debido a la falta de verificación de capacidades en las funciones yaadpay_view_log_callback() y yaadpay_delete_log_callback() en todas las versiones hasta, e incluyendo, la 2.2.4. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y…
-
ProfileGrid – Perfiles de Usuario, Grupos y Comunidades <= 5.9.3.6 – Falta de Autorización para Eliminación Arbitraria de Metadatos de Usuario
El plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función pm_remove_file_attachment() en todas las versiones hasta, e incluyendo, 5.9.3.6. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminar…