Ultimas Noticias
-
Vulnerabilidad en Tutor LMS <= 2.6.0 – Falta de Autorización
El plugin Tutor LMS – solución de eLearning y cursos en línea para WordPress es vulnerable a un acceso no autorizado a contenido de preguntas y respuestas restringidas debido a la falta de verificación de capacidades al interactuar con preguntas en todas las versiones hasta, e incluyendo, la 2.6.0. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Sassy Social Share <= 3.3.56
La vulnerabilidad CVE-2024-1448 encontrada en el plugin de WordPress Sassy Social Share permite a atacantes autenticados con permisos de contribuidor o superior ejecutar código malicioso en páginas web. El plugin de Compartir en Redes Sociales – Sassy Social Share para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en…
-
Vulnerabilidad de Inyección HTML en Tutor LMS <= 2.6.0 a través de Q&A
La vulnerabilidad CVE-2024-1128 afecta al plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress en todas las versiones hasta, e incluyendo, la 2.6.0. Esta vulnerabilidad se debe a una insuficiente sanitización de la entrada de HTML en la funcionalidad de Q&A. Esto permite a atacantes autenticados, con acceso de Estudiante y…
-
Vulnerabilidad de Cross-Site Scripting Stored en el Plugin Yet Another Related Posts (YARPP) <= 5.30.9 – Autenticado(Administrador+) a través de la configuración
El plugin YARPP – Yet Another Related Posts Plugin para WordPress es vulnerable a Cross-Site Scripting Stored a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 5.30.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con permisos de nivel…
-
Costo de bienes vendidos (COGS): Calculadora de costos y beneficios para WooCommerce <= 3.2.8 – Cross-Site Scripting Reflejado
El plugin Cost of Goods Sold (COGS): Cost & Profit Calculator for WooCommerce para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘section’ en todas las versiones hasta, e incluyendo, la 3.2.8 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web…
-
Vulnerabilidad de CSRF en Database Reset <= 3.22 permite instalar WP Reset Plugin
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Database Reset para WordPress afecta a todas las versiones hasta la 3.22. Esta vulnerabilidad se debe a la falta de validación de nonce en la función install_wpr(), lo que permite a atacantes no autenticados instalar el WP Reset Plugin mediante una solicitud falsificada si logran…
-
Conector de Google Sheet para WooCommerce <= 1.3.11 – Autorización Ausente
El plugin WooCommerce Google Sheet Connector para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función execute_post_data en todas las versiones hasta, e incluyendo, la 1.3.11. Esto hace posible que atacantes no autenticados actualicen la configuración del plugin. Para subsanar este problema,…