Ultimas Noticias
-
YML for Yandex Market <= 4.2.3 – Cross-Site Scripting Reflejado
El plugin YML for Yandex Market para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro feed_id en todas las versiones hasta, e incluyendo, 4.2.3 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si…
-
Colibri WP <= 1.0.94 – Cross-Site Request Forgery para Instalación Limitada de Plugins
El tema de Colibri WP para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.0.94. Esto se debe a la falta o validación incorrecta del nonce en la función colibriwp_install_plugin(). Esto hace posible que atacantes no autenticados instalen plugins recomendados a través de una solicitud falsificada siempre que…
-
Colibri Page Builder <= 1.0.253 – Cross-Site Request Fogery via cp_shortcode_refresh
El plugin Colibri Page Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.0.253. Esto se debe a la falta o validación incorrecta de nonce en la función cp_shortcode_refresh(). Esto hace posible que atacantes no autenticados ejecuten shortcodes arbitrarios a través de una solicitud falsificada siempre…
-
Colibri Page Builder <= 1.0.253 – Cross-Site Request Fogery vía extend_builder
La vulnerabilidad Cross-Site Request Forgery (CSRF) afecta al plugin Colibri Page Builder para WordPress en todas las versiones hasta, e incluyendo, la 1.0.253. Esto se debe a la validación incorrecta o ausente de nonce en la función apiCall(). Esto permite que atacantes no autenticados llamen a un conjunto limitado de funciones que pueden ser utilizadas…
-
Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz <= 3.6.4 – Autorización faltante
El complemento Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz para WordPress es vulnerable a accesos no autorizados debido a la falta de verificación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 3.6.4. Esto permite a atacantes autenticados, con acceso de suscriptor…
-
Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio <= 3.6.4 – Inyección de Objetos PHP Autenticada (Contributor+)
El plugin Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.6.4 a través de la deserialización de datos no confiables del campo play_podcast_data en los metadatos del post. Esto permite a atacantes…
-
Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz <= 3.6.4 – Falsificación de solicitud entre sitios
El complemento de WordPress Play.ht – Haz que tus entradas de blog sean accesibles con audio de texto a voz es vulnerable a Falsificación de solicitud entre sitios (CSRF) en todas las versiones hasta, e incluyendo, la 3.6.4. Esto se debe a la falta o validación incorrecta de nonce en varias funciones. Esto hace posible…