Ultimas Noticias
-
Chat Bubble <= 2.3 – Vulnerabilidad de Cross-Site Scripting Almacenado (Authenticado como Administrador+)
La vulnerabilidad en el plugin de WordPress Chat Bubble – Floating Chat with Contact Chat Icons, Messages, Telegram, Email, SMS, Call me back permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida. La vulnerabilidad de Cross-Site Scripting almacenado en el…
-
Vulnerabilidad de Cross-Site Request Forgery en Easy PayPal & Stripe Buy Now Button y Contact Form 7 – PayPal & Stripe Add-on
La vulnerabilidad de Cross-Site Request Forgery (CSRF) afecta a las versiones anteriores a la 1.8.3 de Easy PayPal & Stripe Buy Now Button y a las versiones anteriores a la 2.1 de Contact Form 7 – PayPal & Stripe Add-on para WordPress. La vulnerabilidad se debe a la falta de validación de nonce en la…
-
Vulnerabilidad de Cross-Site Scripting en Simple Tweet <= 1.4.0.2 para WordPress
La vulnerabilidad CVE-2024-0700 en el plugin Simple Tweet para WordPress permite a atacantes autenticados realizar Cross-Site Scripting a través del valor del texto del tuit en todas las versiones hasta 1.4.0.2. La falta de sanitización de entrada y escape de salida en el plugin Simple Tweet para WordPress hace posible que atacantes autenticados, con acceso…
-
Avada | Website Builder For WordPress & WooCommerce <= 7.11.4 – Subida de Archivos Arbitrarios (Contributor+)
El tema Avada | Website Builder For WordPress & WooCommerce para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ajax_import_options() en todas las versiones hasta, e incluyendo, la 7.11.4. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor y…
-
Desactivar Json API, Bloqueo de inicio de sesión, XMLRPC, Pingback, Detener el Escaneo Anti Hacker de Enumeración de Usuarios <= 4.51 – Falta de Autorización en Lista Blanca de Direcciones IP no Autenticadas
El complemento Disable Json API, Login Lockdown, XMLRPC, Pingback, Stop User Enumeration Anti Hacker Scan para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función antihacker_add_whitelist() en todas las versiones hasta, e incluyendo, 4.51. Esto hace posible que atacantes no autenticados añadan su…
-
Vulnerabilidad de Acceso en WordPress Access Control <= 4.0.13 – Exposición de Información Sensible a través de la API REST
La vulnerabilidad de Acceso Improper en el plugin WordPress Access Control para WordPress permite la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 4.0.13 a través de la API REST. Esto hace posible que atacantes no autenticados puedan evadir la función ‘Hacer que el Sitio Web sea Solo para Miembros’ del…
-
MainWP Dashboard <= 4.6.0.1 – Vulnerabilidad CSRF a través de posting_bulk
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance en versiones hasta la 4.6.0.1. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘posting_bulk’. Esto permite a atacantes no autenticados eliminar publicaciones arbitrarias mediante una solicitud falsificada si logran engañar a…