Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery en el Plugin Blog Introduction <= 0.3.0
El plugin Blog Introduction para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 0.3.0. Esta vulnerabilidad se debe a una validación de nonce faltante o incorrecta en una función. Esto permite a atacantes no autenticados actualizar la configuración del plugin a través de una solicitud falsificada, siempre y…
-
Gestor de Solicitudes de Música <= 1.3 – Cross-Site Scripting Almacenado sin Autenticación
El plugin Music Request Manager para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta, e incluyendo, la 1.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a…
-
Gixaw Chat <= 1.0 – Cross-Site Request Forgery to Stored Cross-Site Scripting
El plugin de WordPress Gixaw Chat es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0. Esto se debe a la falta de validación de nonce o a una validación incorrecta en una función. Esto permite a atacantes no autenticados inyectar scripts web maliciosos a través de una solicitud falsificada,…
-
Oxygen Builder <= 4.8.3 – Falta de Autorización para Actualizar Hojas de Estilo de Usuarios Autenticados (Suscriptores+)
El plugin Oxygen Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la acción AJAX oxy_save_css_from_admin en todas las versiones hasta, e incluyendo, la 4.8.3. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, actualicen hojas de estilo.…
-
Inyección de Objetos PHP Autenticada en Image Hotspot by DevVN <= 1.2.5
El plugin Image Hotspot by DevVN para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.2.5 a través de la deserialización de entradas no confiables en la función ‘devvn_ihotspot_shortcode_func’. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar un Objeto PHP. No se…
-
Inyección de Objetos PHP Simple Job Board <= 2.12.3 – Autenticado (Editor+)
La extensión Simple Job Board para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 2.12.3 a través de la deserialización de datos no confiables al editar solicitudes de trabajo. Esto hace posible que atacantes autenticados, con acceso de nivel Editor y superior, inyecten un Objeto PHP.…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Custom Permalinks <= 2.6.0
El plugin Custom Permalinks para WordPress es vulnerable a Cross-Site Scripting almacenado en versiones hasta, e incluyendo, 2.6.0 debido a una sanitización insuficiente de la entrada y escape de la salida en los nombres de las etiquetas. Esto permite a usuarios autenticados, con permisos de nivel editor o superiores, inyectar scripts web arbitrarios en páginas…