Ultimas Noticias
-
Taskbuilder – Plugin de gestión de proyectos y tareas de WordPress <= 3.0.6 – Cross-Site Scripting almacenado autenticado (Contributor+) a través del shortcode wppm_tasks
El plugin Taskbuilder – WordPress Project & Task Management para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode wppm_tasks en todas las versiones hasta, e incluyendo, la 3.0.6 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso…
-
WP Smart Import : Importar cualquier archivo XML a WordPress <= 1.1.2 – XSS Reflejado
El plugin WP Smart Import : Importar cualquier archivo XML a WordPress para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘page’ en todas las versiones hasta, e incluyendo, la 1.1.2 debido a una sanitización insuficiente de la entrada y escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web…
-
Backup Migration <= 1.4.6 – Inyección de Objetos PHP no autenticada a través de 'recursive_unserialize_replace'
El plugin Backup Migration para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.4.6 a través de la deserialización de datos no confiables en la función ‘recursive_unserialize_replace’. Esto hace posible que atacantes no autenticados inyecten un Objeto PHP. La presencia adicional de una cadena de POP…
-
Vulnerabilidad de Reflected Cross-Site Scripting en plugin WP Compress para WordPress
El plugin WP Compress – Instant Performance & Speed Optimization para WordPress ha sido identificado con una vulnerabilidad de Reflected Cross-Site Scripting a través del parámetro ‘custom_server’ en todas las versiones hasta la 6.30.03. Esta vulnerabilidad se debe a una insuficiente sanitización de entradas y escape de salidas, lo que permite a atacantes no autenticados…
-
Vulnerabilidad de Media Library Assistant <= 3.23 – Cross-Site Scripting Reflejado a través de los parámetros smc_settings_tab, unattachfixit-action y woofixit-action
La vulnerabilidad CVE-2024-11974 afecta al plugin de WordPress Media Library Assistant, permitiendo a atacantes sin autenticar inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting reflejado en el plugin Media Library Assistant hasta la versión 3.23…
-
Problema de Seguridad en Scratch & Win – Giveaways and Contests <= 2.7.1 – CSRF a través de la función reset_installation
La extensión Scratch & Win – Giveaways and Contests para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.7.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función reset_installation(), lo que permite a atacantes no autenticados restablecer la instalación del plugin mediante…
-
Vulnerabilidad de Autorización Limitada del Lado del Servidor en Photo Gallery Slideshow & Masonry Tiled Gallery <= 1.0.15
La vulnerabilidad de Server-Side Request Forgery (SSRF) afecta al plugin de WordPress Photo Gallery Slideshow & Masonry Tiled Gallery en todas las versiones hasta, e incluyendo, 1.0.15 a través de la función rjg_get_youtube_info_justified_gallery_callback. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación…