Ultimas Noticias
-
Plugin de Calendario de Reservas de Citas y Eventos – Webba Booking <= 5.0.48 – Falta de Autorización para Actualización de Configuraciones CSS por Suscriptores+ Autenticados
El plugin de Calendario de Reservas de Citas y Eventos – Webba Booking para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función save_appearance() en todas las versiones hasta, e incluyendo, la 5.0.48. Esto permite que atacantes autenticados, con acceso de nivel…
-
MailChimp para WordPress <= 4.9.16 – Cross-Site Scripting Almacenado Autenticado (Administrador+)
El plugin MC4WP: Mailchimp for WordPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 4.9.16 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados, con permisos de nivel de administrador y superiores,…
-
Webo-facto <= 1.40 – Escalada de privilegios sin autenticación
El plugin Webo-facto para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, la 1.40 debido a restricciones insuficientes en la función ‘doSsoAuthentification’. Esto permite que atacantes no autenticados se conviertan en administradores registrándose con un nombre de usuario que contenga ‘-wfuser’. Los usuarios deben actualizar a la última versión del…
-
Maintenance Redirect <= 2.0.1 – Suplantación de IP para evadir el modo de mantenimiento
El plugin Maintenance Redirect para WordPress es vulnerable a la suplantación de direcciones IP en todas las versiones hasta, e incluyendo, la 2.0.1 debido a una validación insuficiente de direcciones IP y al uso de encabezados HTTP proporcionados por el usuario como método principal para la obtención de la IP. Esto permite a atacantes no…
-
Vulnerabilidad de Missing Authorization en WooCommerce Multilingual & Multicurrency <= 5.3.6
La vulnerabilidad de Missing Authorization en el plugin WooCommerce Multilingual & Multicurrency para WordPress permite a atacantes autenticados, con acceso de nivel suscriptor y superior, modificar la configuración del plugin. El plugin WooCommerce Multilingual & Multicurrency para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de…
-
Vulnerabilidad de Reflected Cross-Site Scripting en MC4WP: Mailchimp for WordPress 4.9.9 – 4.9.16
La vulnerabilidad CVE-2024-8850 en el plugin MC4WP: Mailchimp for WordPress para WordPress permite a atacantes no autenticados llevar a cabo ataques de Reflected Cross-Site Scripting, pudiendo inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad se encuentra en el…
-
Vulnerabilidad en Limit Login Attempts Plus <= 1.1.0 – Suplantación de IP para evitar mecanismos de protección
El plugin Limit Login Attempts Plus para WordPress es vulnerable a la suplantación de IP en versiones hasta, e incluyendo, 1.1.0. Esto se debe a restricciones insuficientes en dónde se está recuperando la información de la dirección IP para el registro de solicitudes y restricciones de inicio de sesión. Los atacantes pueden suministrar el encabezado…