Ultimas Noticias
-
BulkPress <= 0.3.5 – Cross-Site Scripting Reflejado
El plugin BulkPress para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar correctamente la URL en todas las versiones hasta, e incluyendo la 0.3.5. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una…
-
3D FlipBook, PDF Viewer, PDF Embedder – Vulnerabilidad de Subida de Archivos en WordPress Plugin <= 4.6 – Subida de Archivos Arbitrarios (Autor+)
El plugin de WordPress 3D FlipBook, PDF Viewer, PDF Embedder – Real 3D FlipBook es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipos de archivo en la función ‘r3dfb_save_thumbnail_callback’ en todas las versiones hasta, e incluyendo, la 4.6. Esto permite que atacantes autenticados, con acceso de nivel Autor…
-
WP Video Robot <= 1.20.0 – Escalada de Privilegios Autenticada (Suscriptor+) a través de la Actualización de Metadatos de Usuario
El plugin WordPress Video Robot – The Ultimate Video Importer es vulnerable a una escalada de privilegios debido a una validación insuficiente en los metadatos de usuario que pueden ser actualizados en la función wpvr_rate_request_result() en todas las versiones hasta, e incluyendo, la 1.20.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y…
-
Uix Slideshow <= 1.6.5 – Ejecución de Shortcode Arbitrario sin Autenticación
El plugin Uix Slideshow para WordPress es vulnerable a la ejecución arbitraria de shortcodes en todas las versiones hasta, e incluyendo, la 1.6.5. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten…
-
Vulnerabilidad de Reflected Cross-Site Scripting en SimpleForm Contact Form Submissions <= 2.1.0
El plugin SimpleForm Contact Form Submissions para WordPress es vulnerable a Reflected Cross-Site Scripting debido al uso de add_query_arg & remove_query_arg sin el escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar…
-
Vulnerabilidad de Cross-Site Request Forgery en EleForms para Elementor
El plugin EleForms – All In One Form Integration incluyendo DB para Elementor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.9.9.9. Esto se debe a la falta o validación incorrecta de nonce al eliminar envíos de formularios. Esto permite que atacantes no autenticados eliminen envíos de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en PeproDev WooCommerce Receipt Uploader <= 2.6.9
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin PeproDev WooCommerce Receipt Uploader para WordPress se debe a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 2.6.9. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…