Ultimas Noticias
-
Favicon Generator <= 1.5 – Vulnerabilidad CSRF que permite la Subida Arbitraria de Archivos
La vulnerabilidad Cross-Site Request Forgery (CSRF) ha sido identificada en el plugin Favicon Generator para WordPress en versiones hasta, e incluyendo, la 1.5. Esta vulnerabilidad se debe a la falta de validación de nonce o validación incorrecta en la función output_sub_admin_page_0. Esto permite que atacantes no autenticados suban archivos arbitrarios mediante una solicitud falsificada, siempre…
-
Relevanssi Live Ajax Search <= 2.4 – Inyección de Argumentos no Autenticada en WP_Query
El plugin Relevanssi Live Ajax Search para WordPress es vulnerable a la inyección de argumentos en todas las versiones hasta, e incluyendo, la 2.4. Esto se debe a una validación insuficiente de la entrada suministrada a través de los datos POST en la función ‘search’. Esto permite a atacantes no autenticados inyectar argumentos arbitrarios en…
-
Vulnerabilidad CSRF en plugin Reviews Feed para WordPress
El plugin Reviews Feed – Add Testimonials and Customer Reviews From Google Reviews, Yelp, TripAdvisor, and More para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.1.2. La vulnerabilidad CSRF se debe a una validación de nonce faltante o incorrecta en la función ‘update_api_key’. Esto permite…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin 140+ Widgets | Xpro Addons For Elementor – FREE <= 1.4.4.3 con Acceso Autenticado (Contribuidor+)
El plugin 140+ Widgets | Xpro Addons For Elementor – FREE para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del widget Post Grid en todas las versiones hasta y incluyendo la 1.4.4.3, lo que permite a atacantes autenticados inyectar scripts web arbitrarios en páginas para ejecutarse cuando un usuario accede a dicha…
-
Vulnerabilidad de Cross-Site Scripting en Logo Showcase Ultimate para WordPress
El plugin Logo Showcase Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 1.4.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de Autor y superior, inyecten scripts web arbitrarios…
-
Ninja Tables – Construcción de tabla de datos más fácil <= 5.0.12 – Cross-Site Scripting almacenado autenticado (Autor+) mediante carga de archivos SVG
El plugin Ninja Tables – Easiest Data Table Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, 5.0.12 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Autor…
-
Music Request Manager <= 1.3 – CSRF a XSS Almacenado
El plugin Music Request Manager para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.3. Esto se debe a la falta de validación de nonce en una función. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada siempre y cuando…