Ultimas Noticias
-
Productos, Orden y Exportación de Clientes para WooCommerce <= 2.0.15 – Cross-Site Scripting Reflejado
El plugin Productos, Orden y Exportación de Clientes para WooCommerce en WordPress es vulnerable a un Cross-Site Scripting Reflejado debido a la falta de escapado adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.0.15. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran…
-
Vulnerabilidad de Cross-Site Request Forgery en Newsletter, SMTP, Email marketing and Subscribe forms by Brevo (anteriormente Sendinblue) <= 3.1.87
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin de WordPress Newsletter, SMTP, Email marketing y Subscribe forms de Brevo (anteriormente Sendinblue) hasta la versión 3.1.87 permite a atacantes no autenticados manipular acciones en la conexión de Brevo si engañan a un administrador del sitio para realizar una acción como hacer clic en un…
-
WP Builder <= 3.0.7 – Cross-Site Scripting por carga de archivos SVG
El plugin WP Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 3.0.7 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso a nivel de Autor y superior,…
-
Máximo de Productos por Usuario para WooCommerce <= 4.2.8 – Cross-Site Scripting Reflejado
Se ha descubierto una vulnerabilidad de Cross-Site Scripting Reflejado en el plugin de WordPress Máximo de Productos por Usuario para WooCommerce. Esta vulnerabilidad, identificada con el ID CVE-2024-9205, permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para realizar una acción como hacer clic…
-
Notificación para Telegram <= 3.3.1 – Falta de Autorización para Enviar Mensajes de Prueba a Usuarios Autenticados (Suscriptores+)
El plugin de WordPress Notificación para Telegram es vulnerable a enviar mensajes de prueba no autorizados debido a la falta de verificación de capacidades en la función ‘nftb_test_action’ en las versiones hasta, e incluyendo, la 3.3.1. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, enviar un mensaje de prueba a través…
-
Bypass de Autenticación en WP Users Masquerade <= 2.0.0
El plugin WP Users Masquerade para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 2.0.0. Esto se debe a una incorrecta autenticación y comprobación de capacidades en la función ‘ajax_masq_login’. Esto hace posible que atacantes autenticados, con permisos de nivel suscriptor o superior, puedan iniciar sesión como cualquier…
-
UserPlus <= 2.0 – Escalada de Privilegios sin Autenticación
El plugin UserPlus para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, la 2.0 debido a una restricción insuficiente en las funciones ‘form_actions’ y ‘userplus_update_user_profile’. Esto permite que atacantes no autenticados especifiquen su rol de usuario al suministrar el parámetro ‘role’ durante un registro. Para subsanar este problema, se recomienda…