Ultimas Noticias
-
AI Engine <= 2.1.4 – Subida arbitraria de archivos autenticada (Editor+) a través de add_image_from_url
En este informe de seguridad, se ha descubierto que el plugin AI Engine: Chatbots, Generators, Assistants, GPT 4 and more! para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación del tipo de archivo en la función ‘add_image_from_url’ en todas las versiones hasta y incluyendo la 2.1.4. Esto permite…
-
Booking for Appointments and Events Calendar – Amelia <= 1.0.93 – Cross-Site Scripting almacenado a través de shortcode autenticado (Contributor+)
En este artículo, abordaremos una vulnerabilidad de seguridad en el plugin de WordPress ‘Booking for Appointments and Events Calendar – Amelia’ en versiones anteriores a 1.0.93. La vulnerabilidad permite a atacantes autenticados con permisos de nivel ‘contributor’ o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página…
-
Product Import Export for WooCommerce <= 2.3.7 – Carga de archivos arbitrarios autenticada (Administrador de tienda+) a través de upload_import_file
El complemento Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘upload_import_file’ en todas las versiones hasta, e incluyendo, la 2.3.7. Esto permite a atacantes autenticados, con acceso de Administrador de tienda o superior, cargar archivos…
-
Fluent Forms <= 5.1.5 – Autenticación (Administrador+) Stored Cross-Site Scripting a través del título del formulario importado
La vulnerabilidad conocida como Cross-Site Scripting (XSS) es una de las principales preocupaciones en términos de seguridad web. En este informe, analizaremos una vulnerabilidad específica en el plugin ‘Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms’, que permite a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium <= 2.3.2
En este post te informaremos sobre una vulnerabilidad de Cross-Site Scripting almacenada en la versión 2.3.2 y anteriores del plugin GeneratePress Premium para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior, inyectar scripts web maliciosos en páginas específicas del sitio. La vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Stock Locations for WooCommerce <= 2.5.9 a través de la configuración del administrador
El plugin Stock Locations for WooCommerce para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting (XSS) almacenada a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 2.5.9 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados con permisos de nivel…
-
Importar y exportar usuarios y clientes <= 1.24.6 – Autorización faltante a través del punto final fire_cron REST
En este informe de seguridad se ha identificado una vulnerabilidad en el plugin Importar y exportar usuarios y clientes para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a una comprobación incorrecta de capacidades en la función fire_cron en las versiones hasta, e incluyendo, 1.24.6. Esto hace posible que atacantes no autenticados…