Ultimas Noticias
-
Exposición de archivos de respaldo no autenticados en WP Database Backup by Backup for WP <= 7.3
El plugin WP Database Backup – Unlimited Database & Files Backup by Backup for WP para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 7.3 a través de archivos de respaldo públicamente accesibles. Esto permite a atacantes no autenticados extraer datos sensibles, incluyendo toda la información…
-
SKT Page Builder <= 4.6 – Subida de Archivos Arbitrarios (Subscriptor+)
El plugin SKT Page Builder para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de comprobación de capacidades en la función ‘addLibraryByArchive’ en todas las versiones hasta, e incluyendo, la 4.6. Esto permite a atacantes autenticados, con acceso de nivel subscriptor y superior, subir archivos arbitrarios que permiten la ejecución…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Unlimited Elements For Elementor para WordPress
El plugin Unlimited Elements For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de múltiples widgets en todas las versiones hasta, e incluyendo, la 1.5.135 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y…
-
Vulnerabilidad de Cross-Site Scripting en Shipping via Planzer for WooCommerce
El plugin Shipping via Planzer for WooCommerce para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘processed-ids’ en todas las versiones hasta la 1.0.25 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan…
-
Tarjetas de regalo definitivas para WooCommerce <= 3.0.6 – Falta de autorización para la falla de dinero infinito
El complemento Ultimate Gift Cards for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en varios puntos finales de la API REST, como /wp-json/gifting/recharge-giftcard en todas las versiones hasta, e incluyendo, la versión 3.0.6. Esto permite que atacantes no autenticados recarguen el saldo…
-
Vulnerabilidad de subida de archivos arbitrarios en Garden Gnome Package <= 2.3.0
El complemento Garden Gnome Package para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la funcionalidad que extrae automáticamente archivos ‘ggpkg’ que se han subido en todas las versiones hasta, e incluyendo, la 2.3.0. Esto permite a atacantes autenticados, con acceso de nivel…
-
Shopping Cart & eCommerce Store <= 5.7.8 – Falta de Autorización para Actualizar Pedidos
El plugin de WordPress Shopping Cart & eCommerce Store es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función de webhook en todas las versiones hasta, e incluyendo, la 5.7.8. Esto hace posible que atacantes no autenticados modifiquen estados de pedidos. Para subsanar este problema,…