Ultimas Noticias
-
AdRotate – Gestor de anuncios y anuncios de Adsense <= 5.13.2 – Carga de Archivo Arbitrario de Doble Extensión Autenticado (Admin+)
La vulnerabilidad CVE-2022-1206 permite a atacantes autenticados con nivel de administrador o superior cargar archivos arbitrarios en servidores de sitios afectados a través de la función adrotate_insert_media() en el plugin AdRotate Banner Manager para WordPress. Esto puede conducir a la ejecución remota de código en el servidor. La falta de sanetización de la extensión de…
-
Vulnerabilidad de Cross-Site Scripting en The Plus Addons for Elementor <= 5.6.2 a través del Widget TP Page Scroll
La vulnerabilidad CVE-2024-6575 en el plugin The Plus Addons for Elementor permite a atacantes autenticados con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas, lo que puede producir consecuencias maliciosas al ser ejecutados por los usuarios al acceder a estas páginas. El plugin The Plus Addons for Elementor en su versión…
-
Contact Form by Bit Form: Vulnerabilidad de Inyección SQL Autenticada (Administrador+) CVE-2024-7780
El plugin Contact Form by Bit Form para WordPress es vulnerable a una Inyección SQL genérica a través del parámetro id en las versiones 2.0 a 2.13.9. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel Administrador y superior, añadir consultas SQL adicionales a consultas existentes para extraer información sensible de la base de…
-
GiveWP – Vulnerabilidad de Autorización Faltante
El plugin de donaciones y plataforma de recaudación de fondos GiveWP para WordPress es vulnerable a accesos no autorizados y eliminación de datos debido a la falta de comprobación de capacidades en la función ‘handle_request’ en todas las versiones hasta, e incluyendo, la 3.14.1. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y…
-
Vulnerabilidad en GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.13.0 – Falta de Autorización para Actualización de Configuraciones de Eventos sin Autenticación
La vulnerabilidad identificada como CVE-2024-5940 en el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress permite la modificación no autorizada de datos debido a la ausencia de una verificación de capacidad en la función ‘handle_request’ en todas las versiones hasta, e incluyendo, la 3.13.0. Esto permite a atacantes no…
-
Vulnerabilidad en Snapshot Backup <= 2.1.1 – Cross-Site Request Forgery a Cross-Site Scripting Almacenado
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Snapshot Backup para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.1.1. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce en la función snapshot_home. Esto permite que atacantes no autenticados actualicen la configuración del plugin e inyecten scripts web…
-
GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.13.0 – Falta de Autorización para Exposición de Información Limitada
El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una comprobación de capacidad en la función ‘setup_wizard’ en todas las versiones hasta, e incluyendo, la 3.13.0. Esto permite que atacantes no autenticados puedan leer las páginas administrativas del asistente de…