Ultimas Noticias
-
Brizy – Page Builder <= 2.5.1 – Cross-Site Request Forgery (CVE-2024-6254)
El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 2.5.1. Esto se debe a la validación incorrecta o faltante de nonces en las presentaciones de formularios. Esto permite que atacantes no autenticados envíen formularios destinados al uso público como otro usuario a…
-
MainWP Child Reports <= 2.2 – Vulnerabilidad de Cross-Site Request Forgery para la Actualización Arbitraria de Opciones
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin MainWP Child Reports para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.2. Esta vulnerabilidad se debe a la falta o validación incorrecta del nonce en la función network_options_action(). Esto hace posible que atacantes no autenticados actualicen opciones arbitrarias que pueden ser utilizadas…
-
Booking for Appointments and Events Calendar – Amelia <= 1.2 – Divulgación de Ruta Completa no Autenticada
El plugin Booking for Appointments and Events Calendar – Amelia para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, 1.2. Esta vulnerabilidad se debe a que el plugin utiliza Symfony y deja display_errors activado en los archivos de prueba. Esto permite a atacantes no autenticados recuperar la…
-
Plugin de Calendario de Reservas y Plugin de Programación en Línea – BookingPress 1.1.6 – 1.1.7 – Bypass de Autenticación para Toma de Control de Cuenta
El plugin de Calendario de Reservas y Plugin de Programación en Línea – BookingPress para WordPress es vulnerable a un bypass de autenticación en las versiones 1.1.6 a 1.1.7. Esto se debe a que el plugin no verifica adecuadamente la identidad de un usuario antes de iniciar sesión al completar una reserva. Esto hace posible…
-
Vulnerabilidad de Inyección de Objetos PHP en MultiPurpose <= 1.2.0 (Autenticado como Contributor+)
La vulnerabilidad CVE-2024-7486 afecta al tema MultiPurpose para WordPress, permitiendo la inyección de objetos PHP a través de la deserialización de datos no confiables en la meta de la publicación ‘wpeden_post_meta’. Esta vulnerabilidad puede ser aprovechada por atacantes autenticados con nivel de acceso Contributor y superior. La deserialización de datos no confiables en el tema…
-
Vulnerabilidad de Inyección de Objetos PHP Autenticada en The Next <= 1.1.0
La vulnerabilidad de inyección de objetos PHP en el tema de WordPress The Next afecta a todas las versiones hasta, e incluyendo, la 1.1.0 a través de la deserialización de datos no confiables en el valor de metadatos de la publicación wpeden_post_meta. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar…
-
Vulnerabilidad PHP Object Injection en News Flash <= 1.1.0
La vulnerabilidad CVE-2024-7560 en el tema News Flash para WordPress permite la inyección de objetos PHP a través de la deserialización de datos no confiables. Esto puede ser aprovechado por atacantes autenticados con acceso de Editor o superior para inyectar un objeto PHP en el sistema. El tema News Flash para WordPress es vulnerable a…