Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin Mhr Post Ticker <= 1.1 para WordPress
El plugin Mhr Post Ticker para WordPress es vulnerable a Cross-Site Scripting almacenado a través del valor del título del encabezado en todas las versiones hasta la 1.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel administrador, inyecten scripts web arbitrarios en páginas…
-
Vulnerabilidad de Inyección de Objetos PHP en Grid Gallery – Photo Image Grid Gallery <= 1.4.3 a través de shortcode de usuario autenticado (Contributor+)
La vulnerabilidad de deserialización de datos no confiables en el plugin Grid Gallery – Photo Image Grid Gallery para WordPress permite la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.4.3 a través de la deserialización a través de shortcode de la entrada de datos no confiable del valor meta awl_gg_settings_.…
-
Barcode Scanner with Inventory & Order Manager <= 1.5.4 – Inyección SQL Autenticada (Suscriptor+)
El plugin Barcode Scanner and Inventory manager para WordPress es vulnerable a Inyección SQL ciega a través del parámetro ‘currentIds’ en todas las versiones hasta la 1.5.4, debido a la insuficiente escapada en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Missing Authorization en The Post Grid para WordPress
El plugin The Post Grid – Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid para WordPress presenta una vulnerabilidad de Missing Authorization que permite a atacantes autenticados, con acceso de suscriptor o superior, modificar datos y ajustes del plugin de forma no autorizada. La función rtTPGSaveSettings en todas las versiones hasta la 7.6.1 no…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress WP Front User Submit / Front Editor
El plugin de WordPress Guest posting / Frontend Posting – WP Front User Submit / Front Editor presenta una vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) que afecta a todas las versiones hasta la 4.4.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios que se ejecutarán cuando…
-
ACF Front End Editor <= 2.0.2 – Falta de Autorización para Actualización Arbitraria de Contenido (Suscriptor+)
El plugin ACF Front End Editor para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función update_texts() en todas las versiones hasta, e incluyendo, la 2.0.2. Esto permite que los atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen arbitrariamente el…
-
Vulnerabilidad en Booster Extension <= 1.2.0 – Exposición de Información Básica a través de 'booster_extension_authorbox_shortcode_display'
La extensión Booster para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.2.0 a través de la función ‘booster_extension_authorbox_shortcode_display’. Esto permite a atacantes no autenticados extraer datos sensibles incluyendo correos electrónicos de usuarios. La vulnerabilidad se debe a una falta de autorización adecuada, lo que significa…