Ultimas Noticias
-
Booking for Appointments and Events Calendar – Amelia <= 1.0.93 – Cross-Site Scripting almacenado a través de shortcode autenticado (Contributor+)
En este artículo, abordaremos una vulnerabilidad de seguridad en el plugin de WordPress ‘Booking for Appointments and Events Calendar – Amelia’ en versiones anteriores a 1.0.93. La vulnerabilidad permite a atacantes autenticados con permisos de nivel ‘contributor’ o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página…
-
Product Import Export for WooCommerce <= 2.3.7 – Carga de archivos arbitrarios autenticada (Administrador de tienda+) a través de upload_import_file
El complemento Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘upload_import_file’ en todas las versiones hasta, e incluyendo, la 2.3.7. Esto permite a atacantes autenticados, con acceso de Administrador de tienda o superior, cargar archivos…
-
Fluent Forms <= 5.1.5 – Autenticación (Administrador+) Stored Cross-Site Scripting a través del título del formulario importado
La vulnerabilidad conocida como Cross-Site Scripting (XSS) es una de las principales preocupaciones en términos de seguridad web. En este informe, analizaremos una vulnerabilidad específica en el plugin ‘Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms’, que permite a atacantes autenticados con nivel de administrador inyectar scripts web maliciosos.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium <= 2.3.2
En este post te informaremos sobre una vulnerabilidad de Cross-Site Scripting almacenada en la versión 2.3.2 y anteriores del plugin GeneratePress Premium para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor o superior, inyectar scripts web maliciosos en páginas específicas del sitio. La vulnerabilidad de Cross-Site Scripting almacenada en GeneratePress Premium…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Stock Locations for WooCommerce <= 2.5.9 a través de la configuración del administrador
El plugin Stock Locations for WooCommerce para WordPress es vulnerable a una vulnerabilidad de Cross-Site Scripting (XSS) almacenada a través de la configuración del administrador en todas las versiones hasta, e incluyendo, la 2.5.9 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados con permisos de nivel…
-
Importar y exportar usuarios y clientes <= 1.24.6 – Autorización faltante a través del punto final fire_cron REST
En este informe de seguridad se ha identificado una vulnerabilidad en el plugin Importar y exportar usuarios y clientes para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a una comprobación incorrecta de capacidades en la función fire_cron en las versiones hasta, e incluyendo, 1.24.6. Esto hace posible que atacantes no autenticados…
-
Unlimited Addons for WPBakery Page Builder <= 1.0.42 – Carga de archivos arbitraria autenticada (Editor+)
En este reporte de seguridad se ha descubierto una vulnerabilidad en el plugin Unlimited Addons for WPBakery Page Builder de WordPress que permite la carga de archivos arbitrarios debido a una validación insuficiente del tipo de archivo. Esta vulnerabilidad puede ser aprovechada por atacantes autenticados con un rol al que el administrador haya otorgado acceso…