Ultimas Noticias
-
Custom Field Template <= 2.6.1 – Cross-Site Scripting almacenado a través del nombre del campo personalizado
El plugin Custom Field Template para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la columna del nombre del campo personalizado en todas las versiones hasta, e incluyendo, la 2.6.1 debido a una sanitización insuficiente de la entrada y escape de la salida en los campos personalizados suministrados por los usuarios. Esto permite…
-
Custom Field Template <= 2.6.1 – Cross-Site Scripting almacenado autenticado (Admin+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Custom Field Template para WordPress en versiones hasta 2.6.1 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. El plugin Custom Field Template para WordPress es vulnerable a Cross-Site Scripting almacenado a través de…
-
WPS Hide Login <= 1.9.15.2 – Divulgación de la Página de Inicio de Sesión
El plugin WPS Hide Login para WordPress es vulnerable a la divulgación de la página de inicio de sesión en todas las versiones hasta, e incluyendo, la 1.9.15.2. Esto se debe a un bypass que se crea cuando se suministra el parámetro ‘action=postpass’. Esto hace posible que los atacantes descubran fácilmente cualquier página de inicio…
-
Vulnerabilidad en WP Force SSL & HTTPS SSL Redirect <= 1.66 – Falta de Autorización para Actualizar Configuraciones
El plugin WP Force SSL & HTTPS SSL Redirect para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘ajax_save_setting’ en versiones hasta e incluyendo la 1.66. Esto permite a atacantes autenticados, con permisos de nivel suscriptor o superior, actualizar la configuración…
-
Vulnerabilidad en CF7 Google Sheets Connector <= 5.0.9 – Falta de Autorización para Actualización Limitada de Configuración del Sitio
El plugin CF7 Google Sheets Connector para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘execute_post_data_cg7_free’ en todas las versiones hasta, e incluyendo, la 5.0.9. Esto permite a atacantes no autenticados cambiar la configuración del sitio, incluidos WP_DEBUG, WP_DEBUG_LOG, SCRIPT_DEBUG y…
-
Salon booking system <= 9.9 – Falta de Autorización
El plugin Salon booking system para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a una falta de verificación de capacidad en varias funciones enganchadas en admin_init en todas las versiones hasta, e incluyendo, la 9.9. Esto permite a atacantes autenticados con acceso de suscriptor o superior modificar la configuración del…
-
SKT Addons para Elementor <= 2.0 – XSS almacenado autenticado (Contributor+) a través de widgets de Age Gate y Creative Slider
En este informe se describe una vulnerabilidad de tipo XSS almacenado en el complemento SKT Addons para Elementor, que afecta a las versiones anteriores o iguales a 2.0. Cuando un usuario con privilegios de Contributor+ crea o edita una página utilizando los widgets Age Gate o Creative Slider, un atacante autenticado puede inyectar código malicioso…