Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en Cookie Notice & Compliance para GDPR / CCPA
Se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Cookie Notice & Compliance para GDPR / CCPA para WordPress, que afecta a las versiones hasta la 2.4.17.1. Esta vulnerabilidad permite a atacantes autenticados con privilegios de administrador o superiores inyectar scripts web maliciosos en páginas que se ejecutarán cuando un usuario acceda…
-
Vulnerabilidad de Información Expuesta en Relevanssi <= 4.22.2
La vulnerabilidad de Information Exposure en el plugin de WordPress Relevanssi – A Better Search, hasta la versión 4.22.2, permite a atacantes no autenticados acceder a información sensible de publicaciones protegidas con contraseña. La vulnerabilidad se encuentra en la función relevanssi_do_query(), la cual no tiene limitaciones suficientes en las publicaciones devueltas durante una búsqueda. Esto…
-
Vulnerabilidad en Newsletters <= 4.9.9 – Divulgación de Ruta Completa no Autenticada
El plugin de Newsletters para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta, e incluyendo, la 4.9.9. Esta vulnerabilidad se debe a que el plugin no impide el acceso directo al /vendor/mobiledetect/mobiledetectlib/export/exportToJSON.php. Esto permite a atacantes no autenticados recuperar la ruta completa de la aplicación web, lo que puede…
-
Vulnerabilidad de Reflected Cross-Site Scripting en WP MultiTasking <= 0.1.12
El plugin WP MultiTasking – WP Utilities para WordPress es vulnerable a Reflected Cross-Site Scripting en todas las versiones hasta, e incluyendo, la 0.1.12 debido a una insuficiente sanitización de entradas y escape de datos. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar a un…
-
TrueBooker <= 1.0.2 – Inyección SQL no autenticada
El complemento TrueBooker – Citas y Programador para WordPress es vulnerable a Inyección SQL en todas las versiones hasta, e incluyendo, 1.0.2 debido a la escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación adecuada en la consulta SQL existente. Esto permite a atacantes no autenticados agregar consultas SQL adicionales…
-
Vulnerabilidad en WP MultiTasking <= 0.1.12 – Cross-Site Request Forgery al Actualizar Configuraciones
El plugin WP MultiTasking – WP Utilities para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 0.1.12. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en una función. Esto permite a atacantes no autenticados actualizar la configuración del plugin a través de una solicitud…
-
Vulnerabilidad CSRF en WP MultiTasking <= 0.1.12 – Actualización de Exit Popup
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP MultiTasking – WP Utilities para WordPress afecta a todas las versiones hasta, e incluyendo, 0.1.12. Esto se debe a la falta o validación incorrecta del nonce en una función. Esto hace posible que atacantes no autenticados actualicen el exit popup a través de una…