Ultimas Noticias
-
TS Poll – Survey, Versus Poll, Image Poll, Video Poll <= 2.3.9 – Inyección SQL autenticada (Administrador+) a través del parámetro orderby
El plugin TS Poll – Survey, Versus Poll, Image Poll, Video Poll para WordPress es vulnerable a Inyección SQL a través del parámetro ‘orderby’ en todas las versiones hasta, e incluyendo, la 2.3.9 debido a la insuficiente escape en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL…
-
Vulnerabilidad en QA Analytics <= 4.1.0.0 – Falta de Autorización para Actualización de Configuraciones (Suscriptor+)
La vulnerabilidad ‘Missing Authorization’ en el plugin QA Analytics – Herramienta de Analítica Web con Mapas de Calor y Reproducción de Sesiones en Todas las Páginas para WordPress permite a atacantes no autenticados realizar modificaciones no autorizadas en los datos del plugin debido a la falta de una verificación de capacidad en la función ajax_save_plugin_config()…
-
UserPlus <= 2.0 – Actualización del Formulario de Registro Autenticado (Editor+) a Escalada de Privilegios
El plugin UserPlus para WordPress es vulnerable a la modificación no autorizada de datos debido a una comprobación de capacidad inadecuada en la función ‘save_metabox_form’ en las versiones hasta, e incluyendo, la 2.0. Esto permite que atacantes autenticados, con permisos de editor o superiores, actualicen el rol del formulario de registro a administrador, lo que…
-
UserPlus <= 2.0 – Falta de Autorización a través de Múltiples Funciones
El plugin UserPlus para WordPress es vulnerable a accesos no autorizados, modificaciones y pérdida de datos debido a la falta de comprobación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 2.0. Esto hace posible que atacantes autenticados con permisos de nivel suscriptor o superior, añadan, modifiquen o eliminen metadatos de…
-
Vulnerabilidad de Cross-Site Scripting en Advanced Blocks Pro <= 1.0.0 mediante carga de archivos SVG
El plugin Advanced Blocks Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.0.0 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de nivel Autor y superior, inyecten…
-
Vulnerabilidad de Cross-Site Scripting en GDPR-Extensions-com – Consent Manager <= 1.0.0 mediante la carga de archivos SVG
Una vulnerabilidad de Cross-Site Scripting almacenado ha sido descubierta en el plugin GDPR-Extensions-com – Consent Manager para WordPress. Esta vulnerabilidad permite a atacantes autenticados inyectar scripts web arbitrarios en las páginas del sitio. La vulnerabilidad CVE-2024-9072, denominada Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), afecta al plugin Consent Manager en su versión…
-
Marketing and SEO Booster <= 1.9.10 – Cross-Site Scripting mediante carga de archivos SVG (Autorizado)
El plugin Marketing and SEO Booster para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la 1.9.10 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Autor o superior, inyectar…