Ultimas Noticias
-
SMS for Lead Capture Forms <= 1.1.0 – Falta de Autorización para Eliminar Mensajes Arbitrarios (Subscriber+)
El plugin SMS for Lead Capture Forms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función delete_message() en todas las versiones hasta, e incluyendo, la 1.1.0. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen mensajes arbitrarios.…
-
Shortcodes Blocks Creator Ultimate <= 2.2.0 – XSS Reflejado a través de _wpnonce
La vulnerabilidad CVE-2024-12167 afecta al plugin Shortcodes Blocks Creator Ultimate para WordPress y permite a atacantes no autenticados realizar ataques de XSS reflejado. Esto se debe a una sanitización insuficiente de la entrada y escape inadecuado de la salida. Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible para…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Plugin de Pago para WordPress
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin de pago para WordPress permite a atacantes inyectar scripts web arbitrarios, poniendo en riesgo la seguridad de los usuarios que interactúan con el sitio web. El plugin de pago para WordPress, en su versión 5.2.2 y anteriores, es vulnerable a Reflected Cross-Site Scripting debido al uso…
-
Poll Maker <= 5.5.4 – Vulnerabilidad de Cross-Site Request Forgery para la Duplicación de Encuestas
El complemento Poll Maker – Versus Polls, Anonymous Polls, Image Polls para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 5.5.4. Esto se debe a una validación de nonce faltante o incorrecta en la función duplicate_poll(). Esto hace posible que atacantes no autenticados dupliquen encuestas a través de…
-
Library Management System <= 3.0.0 – Inyección de SQL Autenticada (Admin+)
El plugin Library Management System – Manage e-Digital Books Library para WordPress es vulnerable a Inyección de SQL a través del parámetro ‘value’ de la acción AJAX owt_lib_handler en todas las versiones hasta, e incluyendo, la 3.0.0 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación…
-
If Menu <= 0.19.1 – Falta de Autorización para Actualizar la Clave de Licencia
El plugin If Menu para WordPress es vulnerable a la modificación no autorizada de la clave de licencia del plugin debido a la falta de una verificación de capacidad en la función ‘actions’ en las versiones hasta, e incluyendo, la 0.19.1. Esto permite a atacantes no autenticados modificar, eliminar o modificar la clave de licencia.…
-
Zooom <= 1.1.0 – Cross-Site Scripting Almacenado (Contribuidor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Zooom para WordPress permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda a esa página. La versión 1.1.0 y anteriores del plugin Zooom para WordPress presentan una vulnerabilidad de Cross-Site Scripting almacenado.…