Ultimas Noticias
-
Icegram Express – Email Subscribers, Boletines y Plugin de Automatización de Marketing <= 5.7.14 – Inyección SQL no autenticada
El plugin Email Subscribers de Icegram Express – Email Marketing, Boletines, Automatización para WordPress y WooCommerce para WordPress es vulnerable a Inyección SQL a través de la función ‘run’ de la clase ‘IG_ES_Subscribers_Query’ en todas las versiones hasta, e incluyendo, la 5.7.14 debido a un escape insuficiente en el parámetro proporcionado por el usuario y…
-
Vulnerabilidad de XSS almacenado en WPC Smart Quick View for WooCommerce <= 4.0.2
El plugin WPC Smart Quick View for WooCommerce para WordPress es vulnerable a XSS almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 4.0.2 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores,…
-
WPZOOM Social Feed Widget & Block <= 2.1.13 – Falta de Autorización para Eliminar Imágenes de Instagram Autenticadas (Suscriptor+)
El plugin WPZOOM Social Feed Widget & Block para WordPress es vulnerable a accesos no autorizados debido a una falta de verificación de capacidades en la función wpzoom_instagram_clear_data() en todas las versiones hasta, e incluyendo, la 2.1.13. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen todas las imágenes de Instagram…
-
Vulnerabilidad en InstaWP Connect – Subida de Archivos Arbitrarios sin Autenticación
La vulnerabilidad CVE-2024-2667 afecta al plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress, permitiendo la subida de archivos arbitrarios sin autenticación. Esta falla se debe a una validación insuficiente de archivos en el punto final de la API REST /wp-json/instawp-connect/v1/config en todas las versiones hasta la 0.1.0.22. Esta vulnerabilidad de subida de…
-
Smart Slider 3 <= 3.5.1.22 – Falta de Autorización para la Carga Limitada de Archivos
El plugin Smart Slider 3 para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función de carga en todas las versiones hasta, e incluyendo, la 3.5.1.22. Esto permite que atacantes autenticados, con acceso de nivel de contribuyente y superior, carguen archivos, incluidos…
-
eRoom – Zoom Meetings & Webinar <= 1.4.18 – Falta de Autorización para la Exposición de Información
El plugin eRoom – Zoom Meetings & Webinars para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.4.18 a través de la función search_posts. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, obtener extractos de publicaciones, incluidas las de borradores y publicaciones pendientes.…
-
Vulnerabilidad de Cross-Site Scripting en el Plugin de Donaciones GiveWP para WordPress
Recientemente se ha detectado una vulnerabilidad de Cross-Site Scripting en el popular plugin de donaciones GiveWP para WordPress, que podría ser explotada por atacantes autenticados con permisos de contribuidor o superiores para inyectar scripts web maliciosos en las páginas del sitio. La vulnerabilidad, identificada con el ID CVE-2024-1957, se debe a una sanitización insuficiente de…