Ultimas Noticias
-
Vulnerabilidad en W3 Total Cache permite desactivación de plugins sin autorización
El plugin W3 Total Cache para WordPress presenta una vulnerabilidad que permite la modificación no autorizada de datos debido a la falta de comprobación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 2.8.1. Esto posibilita que atacantes no autenticados desactiven el plugin, así como activar y desactivar extensiones del plugin.…
-
Vulnerabilidad en W3 Total Cache <= 2.8.1 – Falta de Autorización (Subscriber+) en Solicitudes de Manipulación del Lado del Servidor
La vulnerabilidad en el plugin de WordPress W3 Total Cache (versión 2.8.1 y anteriores) permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, obtener valores de nonce del plugin y realizar acciones no autorizadas, lo que puede resultar en la divulgación de información sensible y consumo de límites de plan de servicio, así…
-
Vulnerabilidad de XSS almacenado en Booking Calendar <= 10.9.2 a través del shortcode 'booking' (Authenticated Contributor+)
La vulnerabilidad CVE-2024-13323 encontrada en el plugin de WordPress WP Booking Calendar hasta la versión 10.9.2 permite a atacantes autenticados con al menos nivel de contribuidor inyectar scripts maliciosos en las páginas del sitio web. El problema radica en la falta de sanitización de entradas y escape de salida en los atributos proporcionados por el…
-
Smart Agenda – Prise de rendez-vous en ligne <= 4.7 – CSRF a XSS almacenado
El plugin Smart Agenda – Prise de rendez-vous en ligne para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 4.7. Esta vulnerabilidad se debe a una validación incorrecta o ausente de nonce en la función smartagenda_options_page_html(). Esto permite a atacantes no autenticados actualizar ajustes e inyectar scripts…
-
Event monster <= 1.4.3 – Exposición de Información a través de la Exportación de la Lista de Visitantes
El plugin Event Monster – Gestión de Eventos, Reserva de Entradas, Eventos Próximos para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.4.3 a través del archivo de Exportación de la Lista de Visitantes. Durante la exportación, se crea un archivo CSV en la carpeta wp-content con…
-
Vulnerabilidad de Inyección de Objetos PHP no autenticada en GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos
La vulnerabilidad de deserialización de datos no confiables en el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress lo hace susceptible a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.19.2 a través de la deserialización de entradas no confiables del formulario de donación como…
-
Vulnerabilidad de Inyección de Objetos PHP no autenticada en GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.19.3
El plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.19.3 a través de la deserialización de entradas no confiables del formulario de donación a través del parámetro ‘company’. Esto permite que atacantes no…