Ultimas Noticias
-
WPvivid Backup and Migration <= 0.9.68 – Falta de Autorización
El plugin Migration, Backup, Staging – WPvivid para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en las funciones get_restore_progress() y restore() en todas las versiones hasta, e incluyendo, la 0.9.68. Esto permite que atacantes no autenticados aprovechen una vulnerabilidad de inyección SQL o provoquen un ataque…
-
Events Manager <= 6.4.6.4 – XSS Cruzado Almacenado Autenticado(Administrador+) a través de ajustes
La vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Events Manager para WordPress permite a atacantes autenticados con permisos de administrador o superiores insertar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a la página infectada. El plugin Events Manager para WordPress es vulnerable a XSS almacenado a través de…
-
Friends <= 2.8.5 – SSRF Autenticado (Admin+)
En este reporte se detalla la vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Friends para WordPress en versiones hasta 2.8.5, la cual permite a atacantes autenticados realizar solicitudes a servidores arbitrarios desde la aplicación web. La vulnerabilidad SSRF en el plugin Friends se encuentra en la función discover_available_feeds, lo que posibilita a atacantes…
-
WPvivid Backup and Migration <= 0.9.68 – Inyección de SQL no autenticada
La vulnerabilidad de inyección de SQL en el plugin de WordPress Migration, Backup, Staging – WPvivid en la versión 0.9.68 permite a atacantes no autenticados añadir consultas SQL adicionales que pueden ser utilizadas para extraer información sensible de la base de datos. La vulnerabilidad CVE-2024-1981 en el plugin WPvivid Backup and Migration versiones anteriores a…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en Advanced iFrame <= 2024.1 para usuarios autenticados (Contributor+)
El plugin Advanced iFrame para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode advanced_iframe del plugin en todas las versiones hasta, e incluyendo, la 2024.1 debido a que el plugin permite a los usuarios incluir archivos JS de fuentes externas a través del atributo additional_js. Esto permite a atacantes autenticados con permisos…
-
Vulnerabilidad de Cross-Site Scripting en WP Shortcodes Plugin — Shortcodes Ultimate <= 7.0.3
El plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘su_qrcode’ en todas las versiones hasta, e incluyendo, la 7.0.3 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Custom fields shortcode <= 0.1
El plugin Custom fields shortcode para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode cf del plugin en todas las versiones hasta la 0.1 debido a una insuficiente sanitización de la entrada y escape de la salida en los valores de meta de la entrada personalizada del usuario. Esto permite que atacantes…