Ultimas Noticias
-
Vulnerabilidad de Falta de Autorización en Plugin RSS Aggregator para WordPress
El plugin RSS Aggregator – RSS Import, News Feeds, Feed to Post, y Autoblogging para WordPress presenta una vulnerabilidad de autorización insuficiente en la función wprss_ajax_send_premium_support en versiones hasta la 4.23.12. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor o superior, enviar solicitudes de soporte premium con un asunto y dirección de correo…
-
Qi Addons For Elementor <= 1.8.0 – Exposición de Información Sensible
El complemento Qi Addons For Elementor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.8.0 a través de plantillas privadas. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, extraer datos sensibles incluyendo el contenido de las plantillas que son privadas. Los…
-
Gestor de Transients <= 2.0.6 – Falsificación de Petición entre Sitios
El plugin Gestor de Transients para WordPress es vulnerable a Falsificación de Petición entre Sitios en todas las versiones hasta, e incluyendo, la 2.0.6. Esto se debe a la falta o validación incorrecta de nonce en la función process_actions. Esto hace posible que atacantes no autenticados eliminen transients a través de una solicitud falsificada siempre…
-
Navegación de Publicaciones Infinitas <= 2.2.7 – Falsificación de Petición de Sitio Cruzada
El plugin de Navegación de Publicaciones Infinitas para WordPress es vulnerable a Falsificación de Petición de Sitio Cruzada en las versiones hasta, e incluyendo, 2.2.7. Esto se debe a la falta o incorrecta validación de nonce en el archivo epn_settings.php. Esto hace posible que atacantes no autenticados actualicen la configuración del plugin a través de…
-
Vulnerabilidad en el Plugin APA Register Newsletter Form <= 1.0.0 – Cross-Site Request Forgery a Inyección SQL
El plugin APA Register Newsletter Form para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 1.0.0. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en una de sus funciones. Esto permite que atacantes no autenticados inyecten SQL malicioso utilizado en una consulta a través de una solicitud…
-
ProfilePress – Pro <= 4.11.1 – Bypass de Autenticación
El plugin ProfilePress Pro para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 4.11.1. Esto se debe a una verificación insuficiente sobre el usuario que devuelve el token de inicio de sesión social. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el…
-
Descarga de Plugin <= 2.2.0 – Falta de Autorización para Acceder a Metadatos de Usuario y Descargar Comentarios
El plugin Download Plugin para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de comprobaciones de capacidad en las funciones ‘dpwap_handle_download_user’ y ‘dpwap_handle_download_comment’ en todas las versiones hasta, e incluyendo, la 2.2.0. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, descarguen cualquier comentario y descarguen metadatos…