Ultimas Noticias
-
Vulnerabilidad en Enhanced Search Box <= 0.6.1 – Cross-Site Request Forgery para Actualización de Configuraciones
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Enhanced Search Box para WordPress afecta a todas las versiones hasta la 0.6.1. Esto se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados actualizar la configuración del plugin mediante una solicitud falsificada, siempre y cuando…
-
Reseña Puntuaciones <= 1.6 – Falsificación de petición a través de sitios cruzados a Secuencias de Comandos en Sitios Cruzados Almacenadas
El plugin de Reseña Puntuaciones para WordPress es vulnerable a Falsificación de Petición a través de Sitios Cruzados (CSRF) en todas las versiones hasta, e incluyendo, la 1.6. Esto se debe a una validación de nonce faltante o incorrecta en una función. Esto permite a atacantes no autenticados actualizar la configuración del plugin e inyectar…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder (Versión Lite) <= 2.8.3.5 a través del Parámetro 'type' con Autenticación (Contributor+)
La vulnerabilidad CVE-2024-7895 en el plugin Beaver Builder para WordPress permite a atacantes autenticados con nivel de acceso Contributor y superior, inyectar scripts web arbitrarios en páginas, lo que podría comprometer la seguridad del sitio. La vulnerabilidad de Cross-Site Scripting (XSS) en Beaver Builder hasta la versión 2.8.3.5 se debe a una insuficiente sanitización de…
-
GiveWP <= 3.15.1 – Divulgación de Ruta Completa no Autenticada
El plugin de WordPress GiveWP – Donation Plugin and Fundraising Platform es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 3.15.1. Esto se debe a que el plugin utiliza Symfony y deja display_errors activado dentro de los archivos de prueba. Esto hace posible que atacantes no autenticados puedan…
-
Vulnerabilidad CSRF en infolinks Ad Wrap <= 1.0.2 que permite la modificación de ajustes
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin infolinks Ad Wrap para WordPress en versiones hasta, e incluyendo, 1.0.2 permite a atacantes no autenticados modificar los ajustes del plugin a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic…
-
Vikinghammer Tweet <= 0.2.4 – Cross-Site Request Forgery a Cross-Site Scripting almacenado
El plugin Vikinghammer Tweet para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 0.2.4. Esto se debe a la falta o incorrecta validación del nonce en una función. Esto hace posible que atacantes no autenticados actualicen la configuración del plugin e inyecten scripts web maliciosos a través de…
-
Inyección de SQL basada en el tiempo en Front End Users <= 3.2.28 – Autenticado (Contribuidor+)
El plugin Front End Users para WordPress es vulnerable a la inyección de SQL basada en el tiempo a través del parámetro ‘order’ en todas las versiones hasta, e incluyendo, la 3.2.28 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente.…