Ultimas Noticias
-
Vulnerabilidad en el plugin Minimal Coming Soon – Página de Próximamente <= 2.38 – Falta de Autorización para Cambios Limitados en la Configuración
El plugin Minimal Coming Soon – Página de Próximamente para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en las funciones validate_ajax, deactivate_ajax y save_ajax en todas las versiones hasta, e incluyendo, la 2.38. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor…
-
Formula <= 0.5.1 – Cross-Site Scripting reflejado a través de quality_customizer_notify_dismiss_action
La vulnerabilidad en el tema de WordPress Formula permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas al explotar el parámetro ‘id’ en la acción AJAX ‘quality_customizer_notify_dismiss_action’ en todas las versiones hasta la 0.5.1. La falta de saneamiento de entradas y escape de salida en el tema Formula de WordPress permite a los…
-
WP Reset <= 2.02 – Falta de Autorización para Modificación de Clave de Licencia
El plugin WP Reset para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función save_ajax en todas las versiones hasta, e incluyendo, la 2.02. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, modifiquen el valor del campo ‘Clave…
-
Vulnerabilidad de Seguridad en Tema WordPress Formula <= 0.5.1
El tema Formula para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro ‘id’ en la acción AJAX ‘ti_customizer_notify_dismiss_recommended_plugins’ en todas las versiones hasta, e incluyendo, la 0.5.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…
-
Vulnerabilidad de Inyección CSV no Autenticada en WS Form LITE <= 1.9.217
El plugin WS Form LITE para WordPress es vulnerable a Inyección CSV en las versiones hasta, e incluyendo, la 1.9.217. Esta vulnerabilidad permite a atacantes no autenticados incrustar datos no confiables en archivos CSV exportados, lo que puede resultar en la ejecución de código al descargar y abrir estos archivos en un sistema local con…
-
PowerPack Pro para Elementor <= 2.10.17 – Escalada de Privilegios Autenticada (Contribuidor+)
El plugin PowerPack Pro para Elementor en WordPress es vulnerable a escalada de privilegios en todas las versiones hasta, e incluyendo, la 2.10.17. Esto se debe a que el plugin no restringe a los usuarios con privilegios bajos de establecer un rol por defecto para un formulario de registro. Esto hace posible que atacantes autenticados,…
-
Cards for Beaver Builder <= 1.1.3 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del Widget de Cards
El plugin Cards for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget de Cards en todas las versiones hasta, e incluyendo, la 1.1.3 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados, con acceso…