Ultimas Noticias
-
Vulnerabilidad de Inclusión de Archivos Locales en WP Umbrella: Update Backup Restore & Monitoring <= 2.17.0
La vulnerabilidad de inclusión de archivos locales en el plugin WP Umbrella: Update Backup Restore & Monitoring para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. La versión 2.17.0 y anteriores de este plugin son vulnerables a la inclusión de archivos locales a través del parámetro ‘filename’ de la acción…
-
FileOrganizer <= 1.1.4 – Inclusión Local de Archivos JavaScript Autenticada (Administrador+)
El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 1.1.4 a través del parámetro ‘default_lang’. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite…
-
Plugin Simple Ecommerce Shopping Cart – Vender productos a través de Paypal <= 3.1.2 – Falta de Autorización para Actualización de Configuraciones / Acceso a Datos de Usuarios Autenticados (Subscriber+)
El plugin Simple Ecommerce Shopping Cart para WordPress es vulnerable a accesos no autorizados debido a la falta de verificación de capacidades en las acciones ‘save_settings’, ‘export_csv’ y ‘simpleecommcart-action’ en todas las versiones hasta, e incluyendo, la 3.1.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar la configuración de los…
-
Plugin de Carrito de Compras Simple Ecommerce – Vende productos a través de Paypal <= 3.1.2 – Cross-Site Scripting Reflejado a través del Parámetro monthly_sales_current_year
El plugin de Carrito de Compras Simple Ecommerce – Vende productos a través de Paypal para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘monthly_sales_current_year’ en todas las versiones hasta, e incluyendo, la 3.1.2 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite que atacantes no autenticados inyecten…
-
TWChat – Envía o recibe mensajes de usuarios <= 4.0.4 – Cross-Site Scripting Reflejado
El plugin TWChat – Envía o recibe mensajes de usuarios para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de remove_query_arg sin escape apropiado en la URL en todas las versiones hasta, e incluyendo, la 4.0.4. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran…
-
Smoove connector para formularios de Elementor <= 4.1.0 – Cross-Site Scripting Reflejado
El plugin Smoove connector para formularios de Elementor en WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 4.1.0. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar con éxito…
-
Beautiful Taxonomy Filters <= 2.4.3 – Inyección SQL no autenticada
El plugin Beautiful Taxonomy Filters para WordPress es vulnerable a Inyección SQL a través del parámetro ‘selects[0][term]’ en todas las versiones hasta, e incluyendo, la 2.4.3 debido a la escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados…