Ultimas Noticias
-
TeploBot – Telegram Bot for WP <= 1.3 – Divulgación de Token de Telegram Bot
El plugin TeploBot – Telegram Bot for WP para WordPress es vulnerable a la divulgación de información sensible debido a la falta de comprobaciones de autorización en la función ‘service_process’ en todas las versiones hasta, e incluyendo, la 1.3. Esto permite que atacantes no autenticados puedan ver el Telegram Bot Token, que es un token…
-
Campos Meta de Categoría y Taxonomía <= 1.0.0 – Cross-Site Scripting Almacenado Autenticado (Administrador+)
Se ha identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Category and Taxonomy Meta Fields para WordPress, que afecta a las versiones hasta, e incluyendo, la 1.0.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios en las páginas, lo que podría comprometer la seguridad de…
-
Vulnerabilidad de Exposición de Información Sensible en el plugin News Kit Elementor Addons
El plugin News Kit Elementor Addons para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 1.2.1 a través de la función de renderizado en includes/widgets/canvas-menu/canvas-menu.php. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos sensibles de plantillas Elementor privadas, pendientes…
-
Rover IDX <= 3.0.0.2905 – Bypass de Autenticación (Subscriber+) Autenticado a Administrador
La vulnerabilidad de Bypass de Autenticación en el plugin Rover IDX para WordPress en versiones hasta, e incluyendo, 3.0.0.2905 permite a atacantes autenticados, con permisos de nivel suscriptor y superiores, ingresar como administrador. La vulnerabilidad es parcialmente parchada en la versión 3.0.0.2905 y completamente parchada en la versión 3.0.0.2906. La vulnerabilidad se debe a una…
-
Rover IDX <= 3.0.0.2903 – Falta de Autorización (Subscriber+) Autenticado a través de Múltiples Funciones
En este informe se detalla una vulnerabilidad de autorización faltante en el plugin Rover IDX para WordPress, que afecta a todas las versiones hasta la 3.0.0.2903. Esta falla podría permitir a atacantes autenticados, con acceso de nivel suscriptor y superior, agregar, modificar o eliminar opciones del plugin, lo que podría resultar en acceder, modificar o…
-
Divulgación de Información no Autenticada a través de Registros de Errores en All-in-One WP Migration and Backup <= 7.86
La vulnerabilidad CVE-2024-8852 en el plugin All-in-One WP Migration and Backup para WordPress permite la divulgación de información sensible a actores no autorizados a través de archivos de registro públicamente expuestos. La versión 7.86 y anteriores del plugin All-in-One WP Migration and Backup para WordPress son vulnerables a la Exposición de Información Sensible a través…
-
Vulnerabilidad de Cross-Site Scripting en StreamWeasels Twitch Integration <= 1.8.6
La vulnerabilidad CVE-2024-9897 afecta al plugin de WordPress StreamWeasels Twitch Integration en su versión 1.8.6 y anteriores, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del shortcode sw-twitch-embed del plugin. La falta de sanitización de entradas y escape de salidas en los atributos proporcionados por…