Ultimas Noticias
-
Mapster WP Maps <= 1.5.0 – Actualización Incorrecta de Opciones Arbitrarias con Autorización Incorrecta para Usuarios Autenticados (Contributor+)
La vulnerabilidad CVE-2024-9235 en el plugin Mapster WP Maps para WordPress permite la modificación no autorizada de datos que puede resultar en una escalada de privilegios debido a una verificación insuficiente de capacidades en la función mapster_wp_maps_set_option_from_js() en todas las versiones hasta, e incluyendo, la 1.5.0. Esto permite a atacantes autenticados con acceso de nivel…
-
Vulnerabilidad de Traversal de Directorios en BuddyPress <= 14.1.0 para Usuarios Autenticados (Suscriptores+)
La vulnerabilidad CVE-2024-10011 en el plugin BuddyPress para WordPress permite a usuarios autenticados con nivel de Suscriptor o superior realizar acciones en archivos fuera del directorio originalmente destinado, lo que facilita la carga de archivos en directorios fuera de la raíz web. La vulnerabilidad de Traversal de Directorios en BuddyPress hasta la versión 14.1.0 se…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Awesome buttons <= 1.0 para WordPress
El plugin de Awesome buttons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode btn2 en todas las versiones hasta 1.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuyente y superior,…
-
Vulnerabilidad de Reflected Cross-Site Scripting en el plugin 10Web Social Post Feed <= 1.2.9
El plugin 10Web Social Post Feed para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg sin escapar correctamente la URL en todas las versiones hasta, e incluyendo, la 1.2.9. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para…
-
Comments – wpDiscuz <= 7.6.24 – Bypass de Autenticación
El plugin Comments – wpDiscuz para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 7.6.24. Esto se debe a una verificación insuficiente sobre el usuario que es devuelto por el token de inicio de sesión social. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario…
-
UPS Live Rates and Access Points <= 2.3.11 – Falta de Autorización para Restablecer Clave de API del Plugin
El plugin WooCommerce UPS Shipping – Live Rates and Access Points para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función delete_oauth_data en todas las versiones hasta, e incluyendo, la 2.3.11. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y…
-
Notificación de Pedido para Telegram <= 1.0.1 – Falta de Autorización para Enviar Mensaje de Prueba de Telegram sin Autenticación
El plugin Notificación de Pedido para Telegram para WordPress es vulnerable a enviar mensajes de prueba no autorizados debido a la falta de una verificación de capacidad en la función ‘nktgnfw_send_test_message’ en versiones hasta, e incluyendo, la 1.0.1. Esto permite a atacantes no autenticados enviar un mensaje de prueba a través de la API de…