Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery en ImageRecycle pdf & image compression <= 3.1.14
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin ImageRecycle pdf & image compression para WordPress afecta a todas las versiones hasta la 3.1.14. Esta vulnerabilidad se debe a la falta de validación de nonce en varias funciones del archivo class/class-image-otimizer.php. Esto permite que atacantes no autenticados actualicen la configuración del plugin y realicen…
-
Favicon Generator <= 1.5 – Cross-Site Request Forgery para Eliminar Archivos Arbitrarios
El plugin Favicon Generator para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 1.5. Esto se debe a la falta o validación incorrecta de nonce en la función output_sub_admin_page_0. Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios en el servidor a través de una solicitud falsificada, siempre y cuando…
-
Plugin de WordPress Botón MaxButtons <= 9.7.8 – Divulgación de Ruta Completa
Este informe detalla una vulnerabilidad de divulgación de información en el plugin de WordPress Button MaxButtons en todas las versiones hasta, e incluyendo, la 9.7.8. Esta vulnerabilidad permite a atacantes no autenticados obtener la ruta completa a las instancias, lo que podrían utilizar en combinación con otras vulnerabilidades o para simplificar el trabajo de reconocimiento.…
-
String Locator <= 2.6.5 – Cross-Site Scripting Reflejado
El plugin String Locator para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘sql-column’ en todas las versiones hasta, e incluyendo, la 2.6.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Vulnerabilidad de Cross-site Scripting almacenado en RT Easy Builder – Advanced addons for Elementor <= 2.2
El plugin RT Easy Builder – Advanced addons for Elementor para WordPress es vulnerable a Cross-site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta la 2.2. Esto se debe a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite…
-
ImageRecycle pdf & image compression <= 3.1.14 – Falta de Autorización en Varias Acciones AJAX
La vulnerabilidad de falta de autorización en el plugin ImageRecycle pdf & image compression para WordPress puede permitir la modificación no autorizada de datos debido a la falta de comprobación de capacidades en varias acciones AJAX en todas las versiones hasta, e incluyendo, la 3.1.14. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor…
-
Vulnerabilidad de XSS almacenado en Piotnet Addons For Elementor <= 2.4.30
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Piotnet Addons For Elementor para WordPress permite a atacantes autenticados inyectar scripts web maliciosos en páginas vulnerables. El plugin Piotnet Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets de Image Accordion, Dual Heading y Vertical Timeline en todas…