Ultimas Noticias
-
Tema de WordPress de Anuncios Clasificados AdForest <= 5.1.7 – Falta de Autorización para Eliminación Arbitraria de Publicaciones/Adjuntos por Usuario Autenticado (Suscriptor+)
El tema de AdForest para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en varias acciones AJAX como ‘sb_remove_ad’ en todas las versiones hasta, e incluyendo, la 5.1.7. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminar publicaciones, adjuntos y…
-
Vulnerabilidad de Traversing de Ruta no Autenticada en WordPress File Upload <= 4.24.13
La vulnerabilidad CVE-2024-9939 encontrada en el plugin WordPress File Upload para WordPress permite a atacantes no autenticados leer archivos fuera del directorio originalmente destinado a través de wfu_file_downloader.php. La vulnerabilidad de Traversing de Ruta, también conocida como Path Traversal, ocurre cuando no se limita adecuadamente la ruta de un archivo a un directorio restringido, lo…
-
Vulnerabilidad de Cross-Site Scripting en MAS Elementor <= 1.1.7
La vulnerabilidad CVE-2024-12328 en MAS Elementor plugin para WordPress permite a atacantes autenticados con nivel de Author o superior realizar Cross-Site Scripting a través de archivos SVG. El plugin MAS Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta, e incluyendo, la…
-
Vulnerabilidad en WordPress File Upload <= 4.24.15 – Ejecución remota de código sin autenticación, lectura arbitraria de archivos y eliminación de archivos arbitrarios
La vulnerabilidad en el plugin WordPress File Upload para WordPress permite a atacantes no autenticados ejecutar código de forma remota, leer archivos de forma arbitraria y eliminar archivos de forma arbitraria en todas las versiones hasta, e incluyendo, la 4.24.15 a través del archivo ‘wfu_file_downloader.php’. Esto se debe a la falta de saneamiento adecuado del…
-
Vulnerabilidad en Modula Image Gallery <= 2.11.10 – Subida de Archivos Arbitrarios Autenticados (Autor+)
La vulnerabilidad CVE-2024-12853 afecta al plugin Modula Image Gallery para WordPress, permitiendo la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la funcionalidad de carga de zip en todas las versiones hasta, e incluyendo, la 2.11.10. Esto permite a atacantes autenticados, con nivel de acceso de Autor y…
-
Vulnerabilidad de Cross-Site Scripting en Essential Blocks para WordPress
La vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. La versión 5.0.9 y anteriores de este plugin son vulnerables a XSS almacenado a través del valor del título del bloque de…
-
Vulnerabilidad de Ejecución de Código Remoto en WordPress File Upload <= 4.24.12 (CVE-2024-11635)
La vulnerabilidad de ejecución de código remoto en el plugin WordPress File Upload para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. A través del parámetro ‘wfu_ABSPATH’ en la cookie, atacantes no autenticados pueden ejecutar código en el servidor. La versión 4.24.12 y anteriores del plugin WordPress File Upload no…