Ultimas Noticias
-
Edición Masiva de Títulos de Entradas <= 5.0.0 – Falta de Autorización a través de bulkUpdatePostTitles
El plugin Bulk Edit Post Titles para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función bulkUpdatePostTitles en todas las versiones hasta, e incluyendo, la 5.0.0. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, modifiquen los títulos de…
-
Vulnerabilidad CSRF en Gestpay for WooCommerce <= 20221130 a través de ajax_set_default_card
La vulnerabilidad CSRF (Cross-Site Request Forgery) en el plugin Gestpay for WooCommerce para WordPress afecta a todas las versiones hasta, e incluyendo, la 20221130. Esta vulnerabilidad se debe a la falta de validación de nonce incorrecta en la función ‘ajax_set_default_card’. Esto permite a atacantes no autenticados establecer el token de tarjeta predeterminado para un usuario…
-
ArtiBot Free Chat Bot for WordPress WebSites <= 1.1.6 – Falta de Autorización para la Actualización de Configuraciones
El plugin ArtiBot Free Chat Bot for WordPress WebSites para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función artibot_update en todas las versiones hasta, e incluyendo, la 1.1.6. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen…
-
Notificaciones de Orden de Alerta SMS – WooCommerce <= 3.6.9 – Cross-Site Request Forgery
El plugin de WordPress SMS Alert Order Notifications – WooCommerce es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.6.9. Esto se debe a una validación incorrecta o ausente de nonce en la función processBulkAction. Esto hace posible que atacantes no autenticados eliminen páginas y publicaciones a través de una…
-
Vulnerabilidad de Traversal de Directorio en Brizy – Page Builder <= 2.4.39 (Autenticado como Contributor+)
El plugin Brizy – Page Builder para WordPress es vulnerable a un Traversal de Directorio en todas las versiones hasta, e incluyendo, la 2.4.39 a través del parámetro ‘id’. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, subir archivos a ubicaciones arbitrarias en el servidor. La vulnerabilidad CVE-2024-1165 en el plugin…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Brizy – Page Builder <= 2.4.40
El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada a través de la carga de bloques del plugin en todas las versiones hasta, e incluyendo, la 2.4.40 debido a una insuficiente sanitización de entradas y escapado de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados…
-
Addon Library <= 1.3.76 – Falta de autorización para cargar archivos arbitrarios (suscriptor+)
El complemento Addon Library para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de verificación de capacidades en la función de acción onAjaxAction en todas las versiones hasta, e incluyendo, 1.3.76. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, realicen varias acciones no autorizadas incluyendo la…