Ultimas Noticias
-
Problema de Seguridad en Scratch & Win – Giveaways and Contests <= 2.7.1 – CSRF a través de la función reset_installation
La extensión Scratch & Win – Giveaways and Contests para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.7.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función reset_installation(), lo que permite a atacantes no autenticados restablecer la instalación del plugin mediante…
-
Vulnerabilidad de Autorización Limitada del Lado del Servidor en Photo Gallery Slideshow & Masonry Tiled Gallery <= 1.0.15
La vulnerabilidad de Server-Side Request Forgery (SSRF) afecta al plugin de WordPress Photo Gallery Slideshow & Masonry Tiled Gallery en todas las versiones hasta, e incluyendo, 1.0.15 a través de la función rjg_get_youtube_info_justified_gallery_callback. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación…
-
WordPress Popular Posts <= 7.1.0 – Ejecución de Shortcode Arbitrario sin Autenticación
El plugin WordPress Popular Posts para WordPress es vulnerable a la ejecución de shortcode arbitrario en todas las versiones hasta, e incluyendo, la 7.1.0. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados…
-
Vulnerabilidad de Referencia de Objeto Directo Inseguro en WP Job Portal plugin para WordPress
El plugin WP Job Portal – A Complete Recruitment System for Company or Job Board website para WordPress es vulnerable a Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.2.4. Esta vulnerabilidad se debe a la falta de validación en una clave controlada por el usuario, lo que permite a…
-
Ninja Forms – Plugin de formulario de contacto que crece contigo <= 3.8.22 – Ejecución de shortcode arbitrario autenticado (Suscriptor+)
El plugin Ninja Forms – The Contact Form Builder That Grows With You para WordPress es vulnerable a la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 3.8.22. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar…
-
Vulnerabilidad de Privilegios en WooCommerce Point of Sale <= 6.1.0
La vulnerabilidad CVE-2024-11281 en el plugin WooCommerce Point of Sale para WordPress permite la escalada de privilegios en todas las versiones hasta, e incluyendo, la 6.1.0. Esto se debe a una validación insuficiente en el valor ‘logged_in_user_id’ cuando los valores de opción están vacíos y la capacidad para que los atacantes cambien el correo electrónico…
-
Avada Builder <= 3.11.12 – Divulgación de Posts Protegidos por Usuarios Autenticados (Contribuidor+)
La vulnerabilidad CVE-2024-12335 permite a usuarios autenticados con privilegios de contribuidor o superiores acceder a información sensible de posts protegidos en el plugin Avada (Fusion) Builder para WordPress. Esto representa un riesgo de divulgación de información confidencial. El plugin Avada (Fusion) Builder para WordPress es vulnerable a la divulgación de información en todas las versiones…