Ultimas Noticias
-
Vulnerabilidad de Subida de Archivos en Super Backup & Clone – Migrate para WordPress <= 2.3.3 – Subida de Archivos Arbitrarios no Autenticada
La vulnerabilidad CVE-2024-9290 afecta al plugin Super Backup & Clone – Migrate para WordPress, permitiendo la subida de archivos arbitrarios sin autenticación. Esto puede poner en riesgo la seguridad de los sitios web que utilizan esta extensión. La vulnerabilidad se encuentra en la función ibk_restore_migrate_check() de todas las versiones del plugin hasta la 2.3.3. Al…
-
MainWP Child <= 5.2 – Falta de Autorización para Escalada de Privilegios sin Autenticación
La vulnerabilidad CVE-2024-10783 afecta al plugin MainWP Child para WordPress, permitiendo a atacantes no autenticados realizar una escalada de privilegios al registrar un sitio en un estado no configurado. La vulnerabilidad se debe a la falta de comprobaciones de autorización en la función register_site en todas las versiones hasta, e incluyendo, la 5.2. Esto permite…
-
Rate My Post – Plugin de valoración por estrellas de FeedbackWP <= 4.2.4 – Votaciones no autenticadas en publicaciones programadas
El plugin Rate My Post – Plugin de valoración por estrellas de FeedbackWP para WordPress es vulnerable a un Bypass de autorización a través de una clave controlada por el usuario. Esto se debe a una referencia directa insegura en todas las versiones hasta, e incluyendo, la 4.2.4 a través del get_post_status() debido a la…
-
WPMobile.App — Aplicación Móvil para Android e iOS <= 11.52 – Ejecución arbitraria de Shortcode no autenticada
El plugin WPMobile.App — Aplicación Móvil para Android e iOS para WordPress es vulnerable a la ejecución arbitraria de shortcode en todas las versiones hasta, e incluyendo, la 11.52. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace…
-
Vulnerabilidad de Seguridad en MStore API para WordPress
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que puede ser explotada por atacantes autenticados para cargar archivos HTML con scripts web maliciosos. La vulnerabilidad CVE-2024-12042, titulada ‘Unrestricted Upload of File with Dangerous Type’, afecta a todas las versiones del…
-
Vulnerabilidad en plugin WP Timetics que permite eliminación de usuarios arbitrarios
El plugin WP Timetics- Calendario de Reservas y Programación en línea, basado en inteligencia artificial, presenta una vulnerabilidad que permite a atacantes autenticados eliminar usuarios de forma arbitraria, comprometiendo la seguridad de los datos. La vulnerabilidad identificada como CVE-2024-11275 se debe a la falta de verificación de capacidades en el punto final /wp-json/timetics/v1/customers/ de la…
-
Calculadora de Impuesto de Estampilla de Property Hive <= 1.0.22 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La calculadora de impuesto de estampilla de Property Hive para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘stamp_duty_calculator_scotland’ en todas las versiones hasta, e incluyendo, 1.0.22 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con…