Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Oliver POS – A WooCommerce Point of Sale (POS) <= 2.4.1.8
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Oliver POS – A WooCommerce Point of Sale (POS) para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.4.1.8. Esto se debe a la falta o validación incorrecta del nonce en el archivo includes/class-pos-bridge-install.php. Esto permite a atacantes no autenticados realizar acciones no…
-
Vulnerabilidad de Bypass en Modo de Mantenimiento de Coming Soon Page & Maintenance Mode
El plugin Coming Soon Page & Maintenance Mode para WordPress es vulnerable a accesos no autorizados debido a una comprobación de URL incorrectamente implementada en la función wpsm_coming_soon_redirect en todas las versiones hasta, e incluyendo, la 2.2.1. Esto permite a atacantes no autenticados ver un sitio con el modo de mantenimiento o modo de próximamente…
-
Modo de Construcción/Mantenimiento de Acurax <= 2.6 – Exposición de Información
El plugin Modo de Construcción/Mantenimiento de Acurax para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6 a través de la API REST. Esto permite que atacantes no autenticados puedan obtener el contenido de entradas y páginas cuando el modo de mantenimiento está activo, eludiendo así…
-
Yuki <= 1.3.13 – Falta de autorización para restablecer la configuración del tema siendo un Usuario autenticado (Suscriptor+)
La vulnerabilidad de la Tema Yuki para WordPress consiste en una modificación no autorizada de datos debido a la ausencia de una verificación de capacidades en la función reset_customizer_options() en todas las versiones hasta, e incluyendo, la 1.3.13. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, restablecer la configuración del tema.…
-
Yuki <= 1.3.14 – CSRF para Restablecer Configuración del Tema
El tema Yuki para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.3.14. Esto se debe a una validación de nonce faltante o incorrecta en la función reset_customizer_options(). Esto hace posible que atacantes no autenticados restablezcan la configuración del tema a través de una solicitud falsificada siempre que…
-
Seraphinite Accelerator <= 2.20.52 – SSRF Autenticado (Suscriptor+) en OnAdminApi_HtmlCheck
El plugin Seraphinite Accelerator para WordPress es vulnerable a Server-Side Request Forgery (SSRF) en todas las versiones hasta, e incluyendo, la 2.20.52 a través de la función OnAdminApi_HtmlCheck. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede ser utilizado…
-
Vulnerabilidad en LifterLMS – Plugin de WordPress para eLearning <= 7.5.1 – Falta de Autorización a través de process_review
El plugin LifterLMS – Plugin de WordPress para eLearning es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘process_review’ en todas las versiones hasta, e incluyendo, la 7.5.1. Esto permite a atacantes no autenticados publicar un número ilimitado de reseñas en el sitio. Los…