SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

    Ultimas Noticias

    • Voting Record <= 2.0 – Cross-Site Request Forgery a la actualización de configuración y Cross-Site Scripting

      En este artículo reportaremos una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en la versión 2.0 y anteriores del plugin Voting Record para WordPress. Esta vulnerabilidad permite a atacantes no autenticados modificar la configuración del plugin e inyectar código JavaScript, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción…

      Leer Mas

    • Voting Record <= 2.0 – Cross-Site Scripting (XSS) almacenado autenticado (Suscriptor+)

      Este artículo aborda la vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la versión 2.0 y anteriores del plugin Voting Record para WordPress. Analizaremos cómo esta vulnerabilidad permite a atacantes autenticados con nivel de acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página infectada.…

      Leer Mas

    • Index Now <= 2.6.3 – Cross-Site Request Forgery via reset_form

      El complemento Index Now para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 2.6.3. Esto se debe a la validación faltante o incorrecta de nonce en la función ‘reset_form’. Esto permite a atacantes no autenticados eliminar opciones arbitrarias del sitio a través de una solicitud falsificada, siempre y…

      Leer Mas

    • Plugin para Revisiones de Google <= 3.1 – XSS Almacenado Autenticado (Contribuidor+) a través de shortcode

      Este artículo aborda una vulnerabilidad en el plugin para WordPress que permite XSS almacenado a través del shortcode del plugin en todas las versiones hasta la 3.1. La falta de sanitización de entrada y escape de salida en el atributo ‘place_id’ permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios…

      Leer Mas

    • ARMember <= 4.0.22 – Cross-Site Request Forgery

      El complemento ARMember para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 4.0.22. Esto se debe a la falta de validación de nonce o a una validación incorrecta en varias funciones. Esto hace posible que atacantes no autenticados puedan inyectar objetos PHP mediante una solicitud falsificada, siempre y cuando…

      Leer Mas

    • Contact Form 7 – Extensión de Texto Dinámico <= 4.1.0 – Referencia Directa a Objeto Insegura

      El plugin Contact Form 7 – Extensión de Texto Dinámico para WordPress es vulnerable a una Referencia Directa a Objeto Insegura en todas las versiones hasta, e incluyendo, la versión 4.1.0 a través de los shortcodes CF7_get_custom_field y CF7_get_current_user debido a la falta de validación en una clave controlada por el usuario. Esto permite que…

      Leer Mas

    • Vulnerabilidad de autorización en el plugin POST SMTP Mailer para WordPress

      El plugin POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP for WordPress es vulnerable a un acceso no autorizado y modificación de datos debido a un problema de manipulación de tipos en el punto de conexión REST connect-app en todas las versiones hasta, e incluyendo, la 2.8.7. Esto permite a…

      Leer Mas

    Ultimas Vulnerabilidades

    Ordenados por CVE

    CVE-2023-6223 CVE-2023-6498 CVE-2023-6506 CVE-2023-6520 CVE-2023-6524 CVE-2023-6567 CVE-2023-6600 CVE-2023-6629 CVE-2023-6699 CVE-2023-6733 CVE-2023-6738 CVE-2023-6747 CVE-2023-6776 CVE-2023-6828 CVE-2023-6883 CVE-2023-6980 CVE-2023-6981 CVE-2023-6984 CVE-2023-7027 CVE-2023-7068 CVE-2023-51410 CVE-2023-51418 CVE-2023-51678 CVE-2023-52177 CVE-2024-0201 CVE-2024-0616 CVE-2024-5226 CVE-2024-5260 CVE-2024-5545 CVE-2024-5668 CVE-2024-6568 CVE-2024-6709 CVE-2024-6770 CVE-2024-6824 CVE-2024-6870 CVE-2024-7032 CVE-2024-7150 CVE-2024-7257 CVE-2024-7291 CVE-2024-7390 CVE-2024-7548 CVE-2024-7651 CVE-2024-7848 CVE-2024-7854 CVE-2024-43343