Ultimas Noticias
-
Escalada de Privilegios Autenticada en Frontend Registration – Contact Form 7 <= 5.1
El plugin Frontend Registration – Contact Form 7 para WordPress es vulnerable a escalada de privilegios en versiones hasta la 5.1 debido a una asignación incorrecta de privilegios en la meta de publicación ‘_cf7frr_’. Esto permite a atacantes autenticados, con acceso de nivel editor y superior, modificar el rol de usuario por defecto en los…
-
Vulnerabilidad de autenticación en Social Login Lite For WooCommerce <= 1.6.0
El plugin Social Login Lite For WooCommerce para WordPress es vulnerable a una omisión de autenticación en versiones hasta, e incluyendo, 1.6.0. Esto se debe a una verificación insuficiente del usuario proporcionado durante el inicio de sesión social a través del plugin. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente…
-
Shield Security – Bloqueo Inteligente de Bots y Prevención de Intrusiones <= 19.1.13 – Ataque de Solicitud Falsificada entre Sitios
El plugin Shield Security – Bloqueo Inteligente de Bots y Prevención de Intrusiones para WordPress es vulnerable a Ataques de Solicitud Falsificada entre Sitios (CSRF) en todas las versiones hasta, e incluyendo, la 19.1.13. Esto se debe a la falta o validación incorrecta de nonce en la función exec. Esto permite que atacantes no autenticados…
-
wpDataTables – Tablas y Gráficos de Tablas (Premium) <= 6.3.2 – Falta de Autorización para Acceso y Modificación de Datos
El plugin wpDataTables – Tablas de Datos de WordPress, Tablas Dinámicas y Gráficos de Tablas es vulnerable a un acceso no autorizado debido a la falta de una verificación de capacidad en varias funciones en el archivo wdt_ajax_actions.php en todas las versiones hasta, e incluyendo, la 6.3.2. Esto permite que atacantes no autenticados manipulen las…
-
Elementos para Elementor <= 2.1 – Inclusión Local de Archivos Autenticados (Contributor+) a través de Múltiples Atributos de Widget
El plugin Elements For Elementor para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 2.1 a través de diferentes atributos de widgets. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de…
-
wpForo Forum <= 2.3.3 – Inyección de SQL Autenticada (Contributor+)
La vulnerabilidad de Inyección de SQL en el plugin wpForo Forum para WordPress permite a atacantes autenticados con nivel de acceso de colaborador y superior, agregar consultas SQL adicionales a consultas existentes para extraer información sensible de la base de datos. La versión vulnerable del plugin es la 2.3.3 y anteriores. La vulnerabilidad se produce…
-
wpDataTables – Tables & Table Charts (Premium) <= 6.3.1 – Inyección SQL sin autenticación
El plugin wpDataTables – WordPress Data Table, Dynamic Tables & Table Charts para WordPress es vulnerable a Inyección SQL a través del parámetro ‘id_key’ de la acción AJAX wdt_delete_table_row en todas las versiones hasta, e incluyendo, la versión 6.3.1 debido a la falta de escape en el parámetro proporcionado por el usuario y la falta…