Ultimas Noticias
-
Vulnerabilidad de Autorización Faltante en Masteriyo LMS para WordPress
La vulnerabilidad de autorización faltante en el complemento Masteriyo LMS – eLearning and Online Course Builder para WordPress pone en riesgo la modificación no autorizada de perfiles de usuarios debido a la falta de comprobaciones de autorización en el punto final de la API REST /wp-json/masteriyo/v1/users/$id en todas las versiones hasta, e incluyendo, la 1.13.3.…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Masteriyo LMS para WordPress
La vulnerabilidad CVE-2024-10000, que afecta al plugin Masteriyo LMS – eLearning and Online Course Builder para WordPress, permite a atacantes autenticados con acceso de nivel estudiante y superior inyectar scripts web arbitrarios en las páginas del sitio. El plugin Masteriyo LMS – eLearning and Online Course Builder para WordPress es vulnerable a Cross-Site Scripting almacenado…
-
Contact Form 7 + Telegram <= 0.8.5 – Falta de Autorización para Aprobar/Pausar/Rechazar Suscripciones
El plugin Contact Form 7 + Telegram para WordPress es vulnerable a la modificación no autorizada de datos y la pérdida de datos debido a la falta de una comprobación de capacidades en la función ‘wpcf7_Telegram::ajax’ en versiones hasta, e incluyendo, 0.8.5. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, aprueben,…
-
Vulnerabilidad de Inyección de Código PHP Arbitrario en All-in-One WP Migration and Backup <= 7.86 – Autenticado (Administrador+)
El plugin All-in-One WP Migration and Backup para WordPress es vulnerable a la inyección de código PHP arbitrario debido a la falta de validación del tipo de archivo durante la exportación en todas las versiones hasta la 7.86. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, crear un archivo de exportación…
-
Vulnerabilidad de Autenticación en Wp Social Login and Register Social Counter <= 3.0.7
El plugin Wp Social Login and Register Social Counter para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, 3.0.7. Esta vulnerabilidad se debe a una verificación insuficiente del usuario devuelto por el token de inicio de sesión social. Esto permite que atacantes no autenticados inicien sesión como cualquier…
-
Vulnerabilidad de Autorización Faltante en Forminator Forms WordPress Plugin
La vulnerabilidad CVE-2024-10402 en el plugin de WordPress Forminator Forms permite a atacantes autenticados, con nivel de acceso de Contribuidor o superior, crear nuevas formas o editar formas existentes sin autorización. El plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a acceso no autorizado debido a la…
-
Vulnerabilidad de Cross-Site Scripting en WP Crowdfunding <= 2.1.11 mediante el shortcode wpcf_donate
El plugin WP Crowdfunding para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpcf_donate en todas las versiones hasta, e incluyendo, la 2.1.11 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel contribuyente y superior,…