Ultimas Noticias
-
GutenKit <= 2.1.0 – Subida de Archivos Arbitrarios no Autenticados
El plugin de WordPress GutenKit – Page Builder Blocks, Patterns, and Templates for Gutenberg Block Editor es vulnerable a la subida de archivos arbitrarios debido a una falta de verificación de capacidades en la función install_and_activate_plugin_from_external() (punto final de la API REST install-active-plugin) en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite que…
-
FULL – Cliente <= 3.1.22 – Vulnerabilidad de Cross-Site Scripting Reflejado
La vulnerabilidad de Cross-Site Scripting Reflejado en el plugin FULL – Cliente para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. Esta vulnerabilidad permite a atacantes inyectar scripts maliciosos en páginas web y potencialmente comprometer la información de los usuarios. El plugin FULL – Cliente para WordPress es vulnerable a…
-
BlockMeister – Block Pattern Builder <= 3.1.10 – Cross-Site Scripting Reflejado
El plugin BlockMeister – Block Pattern Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 3.1.10. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar a…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Powerpress <= 11.9.18 a través del shortcode skipto
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin PowerPress Podcasting de Blubrry para WordPress pone en riesgo la seguridad de los usuarios con privilegios de contribuidor y superiores. La versión 11.9.18 y anteriores del plugin PowerPress Podcasting de WordPress son vulnerables a ataques de Cross-Site Scripting almacenados a través del shortcode ‘skipto’. Esto se…
-
Linkz.ai <= 1.1.8 – Falta de autorización para la actualización de la configuración del plugin a través de AJAX
El complemento Linkz.ai para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘ajax_linkz’ en las versiones hasta, e incluyendo, 1.1.8. Esto permite que atacantes autenticados con privilegios de nivel de contribuidor o superior, actualicen la configuración del plugin de manera indebida.…
-
Vulnerabilidad en Linkz.ai <= 1.1.8 – Falta de Autorización para Actualizar Ajustes del Plugin sin Autenticación
El plugin Linkz.ai para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en las funciones ‘check_auth’ y ‘check_logout’ en las versiones hasta, e incluyendo, la 1.1.8. Esto hace posible que atacantes no autenticados actualicen los ajustes del plugin. Los usuarios afectados por esta vulnerabilidad deben…
-
Pedalo Connector <= 2.0.5 – Bypass de Autenticación a Administrador
La vulnerabilidad de autenticación del plugin Pedalo Connector para WordPress en versiones hasta, e incluyendo, 2.0.5 permite a atacantes no autenticados acceder como administrador. Esto se debe a una restricción insuficiente en la función ‘login_admin_user’, lo que posibilita a los atacantes iniciar sesión como el primer usuario, que suele ser el administrador, o, si no…