SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

    Ultimas Noticias

    • VK Block Patterns <= 1.31.1.1 – Cross-Site Request Forgery

      El plugin VK Block Patterns para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 1.31.1.1. Esto se debe a la falta de validación de nonce o una validación incorrecta en la función vbp_clear_patterns_cache(). Esto permite a atacantes no autenticados eliminar la caché de patrones a través de…

      Leer Mas

    • ColorMag <= 3.1.2 – Falta de Autorización para la Instalación Arbitraria de Plugins

      La vulnerabilidad ‘Missing Authorization’ en el tema ColorMag para WordPress permite el acceso no autorizado debido a la falta de una verificación de capacidades en la función plugin_action_callback() en todas las versiones hasta, e incluyendo, la 3.1.2. Esto significa que atacantes autenticados, con acceso de nivel suscriptor o superior, pueden instalar y activar plugins arbitrarios.…

      Leer Mas

    • Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 – Autenticado(Editor+)

      En este informe de seguridad se presenta una vulnerabilidad de Cross-Site Scripting almacenada en el plugin enigma-chartjs para WordPress. Esta vulnerabilidad afecta a las versiones hasta y incluyendo la versión 2023.2. Los atacantes autenticados, con acceso de editor o superior, pueden aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…

      Leer Mas

    • lasTunes <= 3.6.1 – Cross-Site Request Forgery

      Este artículo aborda la vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin lasTunes para WordPress, en todas las versiones hasta la 3.6.1. El plugin lasTunes para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.6.1. Esto se debe a la falta de validación de nonce incorrecto en…

      Leer Mas

    • Splashscreen <= 0.20 – Cross-Site Request Forgery

      En este post discutiremos la vulnerabilidad de Cross-Site Request Forgery (CSRF) en la versión 0.20 y anteriores del plugin Splashscreen para WordPress. El plugin Splashscreen para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 0.20. Esto se debe a la falta de validación de nonce en una función desconocida o incorrecta. Esto…

      Leer Mas

    • Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 a través de gráficos

      En este informe de seguridad, se revela una vulnerabilidad crítica en la versión hasta 2023.2 del plugin de WordPress enigma-chartjs. Se trata de una vulnerabilidad de Cross-Site Scripting almacenada que permite a atacantes autenticados, con acceso de editor y superior, inyectar scripts web maliciosos en páginas que se ejecutarán cada vez que un usuario acceda…

      Leer Mas

    • Stripe Payment Plugin for WooCommerce <= 3.7.9 – Inyección de SQL sin autenticación

      El plugin Stripe Payment para WooCommerce en WordPress es vulnerable a una inyección de SQL sin autenticación a través del parámetro ‘id’ en todas las versiones hasta la 3.7.9. Esto se debe a una escape insuficiente en el parámetro proporcionado por el usuario y una preparación insuficiente en la consulta SQL existente. Esto permite a…

      Leer Mas

    Ultimas Vulnerabilidades

    Ordenados por CVE

    CVE-2023-6223 CVE-2023-6390 CVE-2023-6493 CVE-2023-6498 CVE-2023-6503 CVE-2023-6504 CVE-2023-6506 CVE-2023-6520 CVE-2023-6524 CVE-2023-6530 CVE-2023-6567 CVE-2023-6600 CVE-2023-6629 CVE-2023-6632 CVE-2023-6633 CVE-2023-6634 CVE-2023-6699 CVE-2023-6733 CVE-2023-6738 CVE-2023-6747 CVE-2023-6751 CVE-2023-6776 CVE-2023-6781 CVE-2023-6828 CVE-2023-6883 CVE-2023-6938 CVE-2023-6980 CVE-2023-6981 CVE-2023-6984 CVE-2023-6990 CVE-2023-7019 CVE-2023-7027 CVE-2023-7048 CVE-2023-7068 CVE-2023-7074 CVE-2023-7089 CVE-2023-50896 CVE-2023-50902 CVE-2023-51405 CVE-2023-51410 CVE-2023-51418 CVE-2023-51678 CVE-2023-52177 CVE-2024-0201 CVE-2024-0616