Ultimas Noticias
-
GiveWP – Vulnerabilidad de Inyección de Objetos PHP no Autenticada a Ejecución de Código Remoto
La vulnerabilidad de deserialización de datos no confiables en el plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress, en versiones hasta 3.16.3, permite la inyección de objetos PHP a través de la deserialización de la entrada no confiable del parámetro give_company_name. Esto posibilita que atacantes no autenticados puedan inyectar un objeto PHP. La…
-
UltimateAI <= 2.8.3 – Bypass de Autenticación
El plugin UltimateAI para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 2.8.3. Esto se debe a una verificación insuficiente en el usuario suministrado en la función ‘ultimate_ai_register_or_login_with_google’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen…
-
Vulnerabilidad de Reflejo de Script entre Sitios en Smart Online Order for Clover <= 1.5.7
La vulnerabilidad CVE-2024-8787 en el plugin Smart Online Order for Clover para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La versión 1.5.7 y anteriores del plugin Smart Online Order for Clover para WordPress…
-
UltimateAI <= 2.8.3 – Cambio de Contraseña Limitado para Usuarios debido a una Comprobación Incorrecta de Valor Predeterminado Vacío y Faltante
El complemento UltimateAI para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta, e incluyendo, la 2.8.3. Esto se debe a la comprobación incorrecta de valor vacío y una comprobación faltante de valor activado por defecto en la función ‘ultimate_ai_change_pass’. Esto hace posible que atacantes no autenticados restablezcan la contraseña del…
-
Vulnerabilidad de Cross-Site Scripting en Discount Rules for WooCommerce
La vulnerabilidad CVE-2024-8541 afecta al plugin Discount Rules for WooCommerce, utilizado para crear cupones y descuentos en tiendas WooCommerce. Esta vulnerabilidad de Cross-Site Scripting permite a atacantes inyectar scripts maliciosos en páginas web, comprometiendo la seguridad del sitio. La vulnerabilidad se debe a un problema de neutralización inadecuada de la entrada durante la generación de…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Smart Online Order for Clover <= 1.5.7
La vulnerabilidad CVE-2024-9895 permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenada a través del shortcode moo_receipt_link del plugin Smart Online Order for Clover en versiones hasta 1.5.7. La falta de saneamiento de entrada y escape de salida en atributos proporcionados por usuarios en el plugin Smart Online Order for Clover para WordPress permite…
-
AADMY – Add Auto Date Month Year Into Posts <= 2.0.1 – Ejecución de Código de Shortcode Arbitrario No Autenticado
El plugin AADMY – Add Auto Date Month Year Into Posts para WordPress es vulnerable a la ejecución de código de shortcode arbitrario en todas las versiones hasta, e incluyendo, la 2.0.1. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar…