Ultimas Noticias
-
Product Sort and Display for WooCommerce <= 2.4.1 – Falta de Autorización
El plugin Product Sort and Display for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función psad_update_product_cat_custom_meta_ajax en todas las versiones hasta, e incluyendo, la 2.4.1. Esto permite a atacantes no autenticados ocultar categorías de productos. Los usuarios afectados por…
-
Vulnerabilidad de Autorización Faltante en Sharkdropship para AliExpress Dropshipping y Afiliados <= 2.2.4 – Eliminación Arbitraria de Publicaciones sin Autorización
La vulnerabilidad de autorización faltante en el plugin Sharkdropship para WordPress pone en riesgo la integridad de los datos al permitir la eliminación no autorizada de publicaciones debido a la falta de una verificación de capacidad en la función wads_removeProductFromShop() en todas las versiones hasta la 2.2.4. Esto facilita que atacantes no autenticados eliminen publicaciones…
-
Genesis Blocks <= 3.1.2 – Cross-Site Scripting Almacenado Autenticado (Contributor+) a través del Contenido del Bloque
El plugin Genesis Blocks para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del contenido del bloque en todas las versiones hasta, e incluyendo, la 3.1.2 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en…
-
Vulnerabilidad de Exposición de Información en el Plugin WPFront User Role Editor <= 3.2.1.11184
El plugin WPFront User Role Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.2.1.11184 a través de la acción AJAX wpfront_user_role_editor_assign_roles_user_autocomplete. Esto permite que atacantes autenticados, con acceso a nivel de suscriptor y superior, extraigan una lista de todas las direcciones de correo electrónico…
-
Vulnerabilidad de Cross-Site Scripting Stored en Template Kit – Import
El plugin Template Kit – Import para WordPress es vulnerable a Cross-Site Scripting Stored a través de la funcionalidad de carga de plantillas en todas las versiones hasta, e incluyendo, 1.0.14 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de autor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Beaver Builder WordPress Page Builder <= 2.8.0.5
El plugin Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Button del plugin en todas las versiones hasta, e incluyendo, la 2.8.0.5 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes…
-
Colibri Page Builder <= 1.0.263 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del shortcode ‘colibri_post_title’ en todas las versiones hasta, e incluyendo, la 1.0.263 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por los usuarios como ‘heading_type’. Esto permite a atacantes autenticados, con acceso de…