Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en WP Custom Fields Search <= 1.2.35 para usuarios autenticados (Contribuidores+) a través del shortcode wpcfs-preset
La vulnerabilidad CVE-2024-8364 encontrada en el plugin WP Custom Fields Search para WordPress permite a usuarios autenticados inyectar código malicioso en páginas web, poniendo en riesgo la seguridad de los sitios que utilicen esta extensión. El plugin WP Custom Fields Search es vulnerable a Cross-Site Scripting almacenado a través del shortcode wpcfs-preset en todas las…
-
Corrección de Seguridad en WP Hardening – Soluciona la Vulnerabilidad de Seguridad en WordPress <= 1.2.6 – Bypass de Característica de Seguridad no Autenticada para Enumeración de Nombres de Usuario
El plugin WP Hardening – Fix Your WordPress Security para WordPress es vulnerable a un Bypass de Característica de Seguridad en todas las versiones hasta, e incluyendo, la 1.2.6. Esto se debe al uso de una expresión regular incorrecta dentro de la función ‘Detener Enumeración de Usuarios’. Esto permite que atacantes no autenticados eviten las…
-
PropertyHive <= 2.0.19 – CSRF a través de save_account_details
El plugin PropertyHive para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.0.19. Esto se debe a la falta o validación incorrecta de nonce en la función ‘save_account_details’. Esto hace posible que atacantes no autenticados editen el nombre, dirección de correo electrónico y contraseña de una cuenta de…
-
Vulnerabilidad en Plugin WordPress Share This Image <= 2.03 – Redirección Abierta a través del Parámetro de Enlace
El plugin Share This Image para WordPress es vulnerable a Redirección Abierta en todas las versiones hasta, e incluyendo, la 2.03. Esto se debe a una validación insuficiente en la URL de redirección proporcionada a través del parámetro de enlace. Esto hace posible que atacantes no autenticados redirijan a los usuarios a sitios potencialmente maliciosos…
-
Login con número de teléfono <= 1.7.49 – Bypass de Autorización Autenticada (Suscriptor+) a Escalada de Privilegios
El plugin de Login con número de teléfono para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta, e incluyendo, la 1.7.49. Esto se debe a la falta de validación y a la ausencia de comprobación de capacidades en los datos proporcionados por el usuario en la función ‘lwp_update_password_action’. Esto hace…
-
Bricks <= 1.10.1 – Cross-Site Scripting almacenado tras autenticación
La vulnerabilidad CVE-2023-3410 en el tema Bricks para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas, lo que podría comprometer la seguridad de los usuarios que accedan a esas páginas. La versión 1.10.1 y anteriores del tema Bricks para WordPress son vulnerables a Cross-Site Scripting almacenado a través del atributo ‘customTag’, debido a…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP Booking System – Booking Calendar <= 2.0.19.8
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin WP Booking System – Booking Calendar para WordPress pone en riesgo la seguridad de los usuarios al permitir a atacantes inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace. El plugin para…