Ultimas Noticias
-
Vulnerabilidad de Información Sensible sin Autenticación en MetForm para Elementor
En este reporte se detalla la vulnerabilidad de Información Sensible sin Autenticación en el plugin MetForm – Contact Form, Survey, Quiz, & Custom Form Builder for Elementor para WordPress en versiones hasta, e incluyendo, la 3.8.8 a través de la función ‘handle_file’. Esta falla de seguridad puede permitir a atacantes no autenticados extraer datos sensibles,…
-
Blog2Social: Social Media Auto Post & Scheduler <= 7.4.1 – Inyección de SQL autenticada (Suscriptor+)
El plugin Blog2Social: Social Media Auto Post & Scheduler para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘b2sSortPostType’ en todas las versiones hasta, e incluyendo, la 7.4.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto…
-
Exposición de Información Sensible en Advanced Contact form 7 DB <= 2.0.2
El plugin Advanced Contact form 7 DB para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.0.2 a través del directorio wp-content/uploads/advanced-cf7-upload. Esto permite que atacantes no autenticados extraigan datos sensibles subidos a través de este plugin a través de un formulario. La vulnerabilidad de almacenamiento…
-
Fallos de autorización en Advanced Contact form 7 DB <= 2.0.2 – Divulgación no autorizada de información
El plugin Advanced Contact form 7 DB para WordPress es vulnerable a un acceso no autorizado de datos debido a una falta de verificación de capacidades en la función ‘vsz_cf7_export_to_excel’ en las versiones hasta la 2.0.2. Esto facilita que atacantes no autenticados descarguen los datos de las entradas de formularios enviados. Los usuarios afectados por…
-
Custom Field Template <= 2.6.1 – Divulgación de Información (Contribuidor+) Autenticado
El plugin Custom Field Template para WordPress es vulnerable a la divulgación de información sensible en todas las versiones hasta, e incluyendo, 2.6.1 a través del shortcode ‘cft’. Esto permite que atacantes autenticados con acceso de contribuidor y superior, extraigan datos sensibles incluyendo metadatos de publicaciones arbitrarias. Una solución recomendada para mitigar esta vulnerabilidad es…
-
Custom Field Template <= 2.6.1 – Vulnerabilidad de Cross-Site Scripting almacenado para usuarios autenticados (Contributor+) a través de shortcode
La vulnerabilidad CVE-2023-6745 se ha encontrado en el plugin Custom Field Template para WordPress, permitiendo a atacantes autenticados con permisos de contributor o superiores inyectar scripts maliciosos en páginas web. La falta de sanitización de entrada y escape de salida en los metadatos de las publicaciones proporcionados por el usuario, hace que sea posible para…
-
SiteOrigin Widgets Bundle <= 1.61.1 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del Widget de Blog de SiteOrigin
En este informe se detalla una vulnerabilidad de Cross-Site Scripting almacenado en el plugin SiteOrigin Widgets Bundle para WordPress, que afecta a todas las versiones hasta 1.61.1. Esta vulnerabilidad permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página…