Ultimas Noticias
-
Vulnerabilidad de Media Library Assistant <= 3.23 – Cross-Site Scripting Reflejado a través de los parámetros smc_settings_tab, unattachfixit-action y woofixit-action
La vulnerabilidad CVE-2024-11974 afecta al plugin de WordPress Media Library Assistant, permitiendo a atacantes sin autenticar inyectar scripts web arbitrarios en páginas si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. La vulnerabilidad de Cross-Site Scripting reflejado en el plugin Media Library Assistant hasta la versión 3.23…
-
Problema de Seguridad en Scratch & Win – Giveaways and Contests <= 2.7.1 – CSRF a través de la función reset_installation
La extensión Scratch & Win – Giveaways and Contests para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.7.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función reset_installation(), lo que permite a atacantes no autenticados restablecer la instalación del plugin mediante…
-
Vulnerabilidad de Autorización Limitada del Lado del Servidor en Photo Gallery Slideshow & Masonry Tiled Gallery <= 1.0.15
La vulnerabilidad de Server-Side Request Forgery (SSRF) afecta al plugin de WordPress Photo Gallery Slideshow & Masonry Tiled Gallery en todas las versiones hasta, e incluyendo, 1.0.15 a través de la función rjg_get_youtube_info_justified_gallery_callback. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación…
-
WordPress Popular Posts <= 7.1.0 – Ejecución de Shortcode Arbitrario sin Autenticación
El plugin WordPress Popular Posts para WordPress es vulnerable a la ejecución de shortcode arbitrario en todas las versiones hasta, e incluyendo, la 7.1.0. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados…
-
Vulnerabilidad de Referencia de Objeto Directo Inseguro en WP Job Portal plugin para WordPress
El plugin WP Job Portal – A Complete Recruitment System for Company or Job Board website para WordPress es vulnerable a Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.2.4. Esta vulnerabilidad se debe a la falta de validación en una clave controlada por el usuario, lo que permite a…
-
Ninja Forms – Plugin de formulario de contacto que crece contigo <= 3.8.22 – Ejecución de shortcode arbitrario autenticado (Suscriptor+)
El plugin Ninja Forms – The Contact Form Builder That Grows With You para WordPress es vulnerable a la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 3.8.22. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar…
-
Vulnerabilidad de Privilegios en WooCommerce Point of Sale <= 6.1.0
La vulnerabilidad CVE-2024-11281 en el plugin WooCommerce Point of Sale para WordPress permite la escalada de privilegios en todas las versiones hasta, e incluyendo, la 6.1.0. Esto se debe a una validación insuficiente en el valor ‘logged_in_user_id’ cuando los valores de opción están vacíos y la capacidad para que los atacantes cambien el correo electrónico…