Ultimas Noticias
-
MainWP Child <= 5.2 – Falta de Autorización para Escalada de Privilegios sin Autenticación
La vulnerabilidad CVE-2024-10783 afecta al plugin MainWP Child para WordPress, permitiendo a atacantes no autenticados realizar una escalada de privilegios al registrar un sitio en un estado no configurado. La vulnerabilidad se debe a la falta de comprobaciones de autorización en la función register_site en todas las versiones hasta, e incluyendo, la 5.2. Esto permite…
-
Rate My Post – Plugin de valoración por estrellas de FeedbackWP <= 4.2.4 – Votaciones no autenticadas en publicaciones programadas
El plugin Rate My Post – Plugin de valoración por estrellas de FeedbackWP para WordPress es vulnerable a un Bypass de autorización a través de una clave controlada por el usuario. Esto se debe a una referencia directa insegura en todas las versiones hasta, e incluyendo, la 4.2.4 a través del get_post_status() debido a la…
-
WPMobile.App — Aplicación Móvil para Android e iOS <= 11.52 – Ejecución arbitraria de Shortcode no autenticada
El plugin WPMobile.App — Aplicación Móvil para Android e iOS para WordPress es vulnerable a la ejecución arbitraria de shortcode en todas las versiones hasta, e incluyendo, la 11.52. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace…
-
Vulnerabilidad de Seguridad en MStore API para WordPress
El plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado que puede ser explotada por atacantes autenticados para cargar archivos HTML con scripts web maliciosos. La vulnerabilidad CVE-2024-12042, titulada ‘Unrestricted Upload of File with Dangerous Type’, afecta a todas las versiones del…
-
Vulnerabilidad en plugin WP Timetics que permite eliminación de usuarios arbitrarios
El plugin WP Timetics- Calendario de Reservas y Programación en línea, basado en inteligencia artificial, presenta una vulnerabilidad que permite a atacantes autenticados eliminar usuarios de forma arbitraria, comprometiendo la seguridad de los datos. La vulnerabilidad identificada como CVE-2024-11275 se debe a la falta de verificación de capacidades en el punto final /wp-json/timetics/v1/customers/ de la…
-
Calculadora de Impuesto de Estampilla de Property Hive <= 1.0.22 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
La calculadora de impuesto de estampilla de Property Hive para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘stamp_duty_calculator_scotland’ en todas las versiones hasta, e incluyendo, 1.0.22 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con…
-
Coupon Affiliates – Plugin de Afiliados para WooCommerce <= 5.16.7.1 – Ejecución de Shortcode Arbitrario y Cross-Site Scripting Reflejado sin Autenticación
La vulnerabilidad CVE-2024-12421 afecta al plugin Coupon Affiliates – Plugin de Afiliados para WooCommerce en todas las versiones hasta la 5.16.7.1. Esta vulnerabilidad permite a atacantes no autenticados ejecutar shortcodes de forma arbitraria y también es vulnerable a Cross-Site Scripting Reflejado. La vulnerabilidad se debe a que el software permite a los usuarios ejecutar una…