Ultimas Noticias
-
Wux Blog Editor <= 3.0.0 – Subida de archivos arbitrarios sin autenticación
El plugin Wux Blog Editor para WordPress es vulnerable a la subida de archivos arbitrarios debido a una validación insuficiente de tipos de archivo en la función ‘wuxbt_insertImageNew’ en versiones hasta, e incluyendo, la 3.0.0. Esto permite que atacantes no autenticados suban archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la…
-
Wux Blog Editor <= 3.0.0 – Bypass de Autenticación de Administrador
El plugin Wux Blog Editor para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 3.0.0. Esto se debe a la falta de validación en el token suministrado durante el autologin a través del plugin. Esto hace posible que atacantes no autenticados inicien sesión en el primer usuario administrador. Para…
-
WatchTowerHQ <= 3.9.6 – Bypass de Autenticación a Administrador por Falta de Comprobación de Valor Vacío
El plugin WatchTowerHQ para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 3.9.6. Esto se debe a que el valor predeterminado ‘watchtower_ota_token’ está vacío y la comprobación de no vacío falta en la función ‘Password_Less_Access::login’. Esto permite que atacantes no autenticados inicien sesión en el usuario administrador del…
-
Extensiones de HocWP Team <= 0.2.3.2 – Bypass de Autenticación
El plugin Extensions by HocWP Team para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, 0.2.3.2. Esto se debe a la ausencia de validación en el usuario suministrado en la acción ‘verify_email’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un…
-
Vulnerabilidad de Cross-Site Scripting almacenado en plugin Poll Maker – Versus Polls, Anonymous Polls, Image Polls <= 5.4.6 a través de la configuración de encuestas
La vulnerabilidad CVE-2024-9462 afecta al plugin Poll Maker – Versus Polls, Anonymous Polls, Image Polls para WordPress en sus versiones hasta la 5.4.6, permitiendo a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a esa página. La falta de sanitización…
-
FormFacade – Plugin de WordPress para Google Forms <= 1.3.6 – Cross-Site Scripting Reflejado
Una vulnerabilidad de Cross-Site Scripting Reflejado ha sido descubierta en el plugin FormFacade para Google Forms en WordPress. Esta vulnerabilidad, identificada como CVE-2024-9613, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. El plugin…
-
PriPre <= 0.4.11 – XSS Almacenado Autenticado (Autor+) a través de la Subida de Archivos SVG
La vulnerabilidad CVE-2024-9454 en el plugin PriPre para WordPress permite a atacantes autenticados con nivel de Autor y superior inyectar scripts web arbitrarios en páginas a través de la subida de archivos SVG. El plugin PriPre para WordPress en versiones hasta la 0.4.11 es vulnerable a XSS almacenado a través de la subida de archivos…