Ultimas Noticias
-
Vulnerabilidad en Order Attachments for WooCommerce 2.0 – 2.4.1 – Falta de Autorización para Cargar Archivos Arbitrarios Limitados
La vulnerabilidad ‘Missing Authorization’ en el plugin Order Attachments for WooCommerce para WordPress permite a atacantes autenticados, con acceso de suscriptor y superior, cargar tipos de archivos limitados de forma arbitraria debido a la falta de una comprobación de capacidades en la acción AJAX wcoa_add_attachment en las versiones 2.0 a 2.4.1. Los usuarios afectados por…
-
ImagePress – Vulnerabilidad de Cross-Site Request Forgery en Plugin de Galería de Imágenes
El plugin ImagePress – Image Gallery para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.2.2. Esto se debe a la falta o validación de nonce incorrecta en la función ‘imagepress_admin_page’. Esto hace posible que atacantes no autenticados actualicen la configuración del plugin, incluyendo URL de redirección, a…
-
ImagePress – Image Gallery <= 1.2.2 – Falta de Autorización para Eliminación Arbitraria de Publicaciones y Actualización de Títulos de Publicaciones
El plugin ImagePress – Image Gallery para WordPress es vulnerable a la modificación no autorizada y pérdida de datos debido a la falta de comprobación de capacidades en las funciones ‘ip_delete_post’ e ‘ip_update_post_title’ en todas las versiones hasta, e incluyendo, la 1.2.2. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen…
-
Vulnerabilidad de Cross-Site Scripting en Forms for Mailchimp by Optin Cat <= 2.5.6
El plugin Forms for Mailchimp by Optin Cat – Grow Your MailChimp List para WordPress es vulnerable a un Cross-Site Scripting almacenado a través de los parámetros de color de los formularios en todas las versiones hasta, e incluyendo, la 2.5.6. Esto se debe a una insuficiente sanitización de la entrada y escape de la…
-
Vulnerabilidad en Read more By Adam <= 1.1.8 – Falta de Autorización para Borrar el Botón Leer Más
El plugin Read more By Adam para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una verificación de capacidad en la función deleteRm() en todas las versiones hasta, e incluyendo, la 1.1.8. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, borrar botones de leer…
-
Vulnerabilidad de Cross-Site Scripting en Mynx Page Builder <= 0.27.8 a través de la carga de archivos SVG
El plugin Mynx Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 0.27.8 debido a una insuficiente sanitización de entradas y escapado de salida. Esto permite a atacantes autenticados, con acceso de Autor o superior, inyectar scripts web arbitrarios…
-
2D Tag Cloud <= 6.0.2 – Cross-Site Scripting Reflejado a través del Parámetro add_query_arg
La vulnerabilidad CVE-2024-9670 se encuentra en el plugin 2D Tag Cloud para WordPress, la cual permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting Reflejado en el plugin 2D Tag Cloud…