Ultimas Noticias
-
Vulnerabilidad de Inyección SQL en Backuply – Backup, Restore, Migrate and Clone <= 1.3.4 (Autenticado como Admin+)
La vulnerabilidad CVE-2024-8669 presenta un riesgo de Inyección SQL en el plugin Backuply – Backup, Restore, Migrate and Clone para WordPress. Esto permite a atacantes autenticados con nivel de administrador o superior insertar consultas SQL adicionales para extraer información sensible de la base de datos. La función backuply_wp_clone_sql() del plugin Backuply contiene una vulnerabilidad de…
-
Formularios de WordPress – Escalada de Privilegios de Usuarios Autenticados
El plugin Post Form – Registration Form – Profile Form for User Profiles – Frontend Content Forms for User Submissions (UGC) para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta, e incluyendo, la 2.8.11. La vulnerabilidad CVE-2024-8246 se debe a una gestión inadecuada de privilegios, ya que el plugin no…
-
Vulnerabilidad en Simple Spoiler 1.2 – 1.3 – Ejecución de Código Arbitrario sin Autenticación
La vulnerabilidad CVE-2024-8479 en el plugin de WordPress Simple Spoiler permite la ejecución arbitraria de shortcodes en las versiones 1.2 a 1.3. Esto se debe a la adición del filtro add_filter(‘comment_text’, ‘do_shortcode’); que ejecutará todos los shortcodes en comentarios, lo que permite a atacantes no autenticados ejecutar shortcodes arbitrarios. Para mitigar esta vulnerabilidad en Simple…
-
Vulnerabilidad de Cross-Site Scripting en Waitlist Woocommerce (Back in stock notifier) <= 2.7.5
El plugin Waitlist Woocommerce (Back in stock notifier) para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 2.7.5. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
Vulnerabilidad en WooCommerce Multiple Free Gift <= 1.2.3 – Falta de Validación Suficiente del Lado del Servidor para la Adición Arbitraria de Regalos
La vulnerabilidad CVE-2022-3459 afecta al plugin WooCommerce Multiple Free Gift para WordPress en todas las versiones hasta, e incluyendo, la 1.2.3. Esto se debe a que el plugin no aplica controles del lado del servidor en los productos que se pueden agregar como regalo, lo que permite a atacantes no autenticados añadir elementos que no…
-
Vulnerabilidad en FOX – Currency Switcher Professional for WooCommerce <= 1.4.2.1 – Ejecución arbitraria de Shortcode sin autenticación
La vulnerabilidad CVE-2024-8271 afecta al plugin de WordPress FOX – Currency Switcher Professional for WooCommerce, permitiendo la ejecución arbitraria de shortcodes sin autenticación. Esta vulnerabilidad se da en todas las versiones hasta, e incluyendo, la 1.4.2.1. La vulnerabilidad radica en que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Cron Jobs <= 1.2.9
El plugin de Cron Jobs para WordPress es vulnerable a Reflected Cross-Site Scripting debido a la falta de escape adecuado en la URL en todas las versiones hasta, e incluyendo, la 1.2.9. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que…