Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Subscribe to Comments <= 2.3
La vulnerabilidad CVE-2024-8792 afecta al plugin Subscribe to Comments para WordPress, permitiendo a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting en el plugin Subscribe to Comments se debe…
-
T(-) Countdown <= 2.4.8 – XSS almacenado autenticado (Contribuidor+) a través de Shortcode
La vulnerabilidad CVE-2024-9884 en el plugin T(-) Countdown para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas, lo que puede resultar en ataques de Cross-Site Scripting (XSS) almacenado. El plugin T(-) Countdown para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tminus’ en…
-
Habilitar Shortcodes en Widgets, Comentarios y Expertos <= 1.0.0 – Ejecución Arbitraria de Shortcode sin Autenticación
El plugin Enable Shortcodes inside Widgets, Comments and Experts para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 1.0.0. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible…
-
Crypto <= 2.15 – CSRF para Bypass de Autenticación
El plugin Crypto para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 2.15. Esto se debe a la falta de validación de nonce en la función ‘crypto_connect_ajax_process::check’. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, mediante una solicitud falsificada siempre y…
-
Crypto <= 2.15 – Bypass de Autenticación a través del log_in
El plugin Crypto para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 2.15. Esto se debe a una llamada arbitraría limitada al método ‘crypto_connect_ajax_process::log_in’ en la función ‘crypto_connect_ajax_process’. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso…
-
Crypto <= 2.15 – Bypass de Autenticación a través de registro
El plugin Crypto para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 2.15. Esto se debe a la falta de validación en el usuario suministrado en la función ‘crypto_connect_ajax_process::register’. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tienen…
-
FileOrganizer <= 1.0.9 – Subida de Archivos Arbitrarios (Subscriber+)
El plugin FileOrganizer – Gestionar archivos de WordPress y del sitio web para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘fileorganizer_ajax_handler’ en todas las versiones hasta, e incluyendo, la 1.0.9. Esto permite que atacantes autenticados, con acceso de nivel Subscriber…