Ultimas Noticias
-
Vulnerabilidad de Reflected Cross-Site Scripting en Woo Manage Fraud Orders <= 6.1.7
Se ha identificado una vulnerabilidad de Reflected Cross-Site Scripting en el plugin de WordPress Woo Manage Fraud Orders, la cual afecta a todas las versiones hasta la 6.1.7. Esta vulnerabilidad se produce debido a una sanitización insuficiente de la entrada y escape de salida, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios…
-
Vulnerabilidad en Kama SpamBlock <= 1.8.2 – Cross-Site Scripting Reflejado
La vulnerabilidad CVE-2024-9647 afecta al plugin Kama SpamBlock para WordPress, permitiendo Cross-Site Scripting Reflejado a través de valores $_POST en versiones hasta 1.8.2. Esto se debe a una insuficiente sanitización de entrada y escape de salida, lo que posibilita a atacantes inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un…
-
AppPresser – Vulnerabilidad en el Marco de Aplicaciones Móviles <= 4.4.4 – Escalada de Privilegios y Toma de Control de Cuentas a través de OTP Débil
El plugin AppPresser – Marco de Aplicaciones Móviles para WordPress es vulnerable a la escalada de privilegios a través de la toma de control de cuentas en todas las versiones hasta, e incluyendo, la 4.4.4. Esta vulnerabilidad se debe a que las funciones appp_reset_password() y validate_reset_password() no tienen suficientes controles para prevenir un exitoso ataque…
-
Vulnerabilidad en WP ULike <= 4.7.4 – Cross-Site Request Forgery para Borrar Estadísticas
El plugin WP ULike – The Ultimate Engagement Toolkit for Websites para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.7.4. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la función wp_ulike_delete_history_api(). Esto hace posible que atacantes no autenticados puedan borrar interacciones a…
-
Vulnerabilidad de Cross-Site Scripting en SEO Manager versión <= 1.9
La vulnerabilidad CVE-2024-9521 en el plugin SEO Manager para WordPress permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts maliciosos en páginas del sitio web. La vulnerabilidad se debe a una falta de sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto significa que…
-
Vulnerabilidad de desactivación no autorizada en el plugin Multiline files upload for contact form 7 <= 2.8.1
El plugin Multiline files upload for contact form 7 para WordPress es vulnerable a la desactivación no autorizada debido a una falta de verificación de capacidad en la función mfcf7_zl_custom_handle_deactivation_plugin_form_submission() en todas las versiones hasta, e incluyendo, la 2.8.1. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, desactiven el plugin y…
-
Vulnerabilidad en Locatoraid Store Locator <= 3.9.47 – Cross-Site Scripting Reflejado
El plugin de Locatoraid Store Locator para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de claves $_POST en todas las versiones hasta, e incluyendo, la 3.9.47 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…