Ultimas Noticias
-
Vulnerabilidad en AI Post Generator | AutoWriter <= 3.5 – Falta de Autorización para Eliminar Páginas y Posts (Contribuidor+)
La vulnerabilidad CVE-2024-11709 se encuentra en el plugin AI Post Generator | AutoWriter para WordPress y permite la eliminación no autorizada de datos debido a la falta de verificación de capacidades en la acción AJAX ai_post_generator_delete_Post en todas las versiones hasta, e incluyendo, la 3.5. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor…
-
Arena.IM – Live Blogging para eventos en tiempo real <= 0.3.0 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin de Arena.IM – Live Blogging para eventos en tiempo real para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘arenablog’ en todas las versiones hasta, e incluyendo, la 0.3.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite…
-
Arena.IM – Vulnerabilidad de Cross-Site Scripting almacenado en plugin de Live Blogging para eventos en tiempo real
El plugin Arena.IM – Live Blogging for real-time events para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenado a través del shortcode ‘arena_embed_amp’ en todas las versiones hasta, e incluyendo, la 0.3.0, debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por usuarios. Esto permite que atacantes autenticados, con acceso…
-
Arena.IM – Live Blogging para eventos en tiempo real <= 0.3.0 – Cross-Site Request Forgery en la actualización de ajustes
El plugin Arena.IM – Live Blogging para eventos en tiempo real para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, 0.3.0. Esto se debe a la falta o validación incorrecta de nonce en la acción AJAX ‘albfre_user_action’. Esto hace posible que atacantes no autenticados actualicen los ajustes del plugin…
-
Vulnerabilidad de Exposición de Información Sensible en el Plugin Restrict para WordPress <= 2.2.8
El plugin Restrict – membership, site, content and user access restrictions for WordPress para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.2.8 a través de la función de búsqueda principal de WordPress. Esto permite a atacantes no autenticados extraer datos sensibles de publicaciones que han…
-
RapidLoad – Optimiza automáticamente las Web Vitals <= 2.4.2 – Falta de Autorización para Modificación de Ajustes de Plugin e Inyección SQL
El plugin RapidLoad – Optimize Web Vitals Automatically para WordPress es vulnerable a accesos no autorizados a datos y modificación de datos debido a la falta de verificación de capacidades en las funciones uucss_data, update_rapidload_settings, wp_ajax_update_htaccess_file, uucss_update_rule, upload_rules, get_all_rules, update_titan_settings, preload_page, y activate_module en todas las versiones hasta, e incluyendo, la 2.4.2. Esto permite a…
-
Últimas entradas vistas por WPBeginner <= 1.0.1 – Exposición no autenticada de información sensible
El plugin Last Viewed Posts by WPBeginner para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.0.1 a través de la función ‘get_legacy_cookies’. Esto permite que atacantes no autenticados extraigan datos sensibles, incluidos títulos y enlaces permanentes de entradas privadas, protegidas por contraseña, pendientes y borradores.…