Ultimas Noticias
-
HUSKY – Vulnerabilidad de Referencia Directa a Objetos no Segura para Anular la Suscripción
El plugin HUSKY – Products Filter Professional for WooCommerce para WordPress es vulnerable a Referencia Directa a Objetos no Segura en todas las versiones hasta, e incluyendo, 1.3.6.1 a través de la acción AJAX woof_messenger_remove_subscr debido a la falta de validación en la clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso…
-
Daily Prayer Time <= 2024.08.26 – Inyección SQL Autenticada (Contribuidor+)
El plugin Daily Prayer Time para WordPress es vulnerable a Inyección SQL a través del atributo ‘max_word’ del shortcode ‘quran_verse’ en todas las versiones hasta, e incluyendo, 2024.08.26 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes…
-
Community by PeepSo – Divulgación de Ruta Completa No Autenticada
El plugin Community by PeepSo para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 6.4.6.0. Esto se debe a que el plugin muestra errores y permite acceso directo al archivo sse.php. Esto hace posible que atacantes no autenticados obtengan la ruta completa de la aplicación web, lo que…
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP GPX Maps <= 1.7.08 a través de sgpx Shortcode
El plugin WP GPX Maps para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘sgpx’ en todas las versiones hasta, e incluyendo, 1.7.08 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Contact Form to Any API <= 1.2.2 – Vulnerabilidad de Cross-Site Scripting almacenado no autenticado a través de Contact Form
La vulnerabilidad CVE-2024-7617 afecta al plugin Contact Form to Any API para WordPress en versiones anteriores a 1.2.2, permitiendo a atacantes no autenticados inyectar scripts maliciosos en páginas. La vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) en el plugin Contact Form to Any API para WordPress se produce debido a una sanitización insuficiente de la…
-
Paquetes Premium – Vender Productos Digitales de forma Segura <= 5.9.1 – Cross-Site Request Forgery
El plugin Premium Packages – Sell Digital Products Securely para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 5.9.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función wpdmpp_async_request(). Esto permite a atacantes no autenticados realizar acciones como iniciar reembolsos a través de…
-
Material Design Icons <= 0.0.5 – Cross-Site Scripting almacenado autenticado (Contribuidor+) mediante el shortcode mdi-icon
La vulnerabilidad CVE-2024-9024 afecta al plugin Material Design Icons para WordPress y permite a atacantes almacenar scripts maliciosos en páginas web para ejecutarlos cuando un usuario accede a la página comprometida. El plugin Material Design Icons hasta la versión 0.0.5 es vulnerable a Cross-Site Scripting almacenado a través del shortcode mdi-icon debido a la insuficiente…