Ultimas Noticias
-
Page Builder: Pagelayer – Vulnerabilidad de Cross-Site Scripting almacenado a través del widget Button
La vulnerabilidad CVE-2024-1590 afecta al plugin Page Builder: Pagelayer – Drag and Drop website builder para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web. La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Pagelayer se debe a una sanitización insuficiente de la entrada y al escape…
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Inyección SQL autenticada (Admin+)
El plugin de WordPress Contact Form 7 para el almacenamiento de datos del lado del administrador es vulnerable a Inyección SQL a través del parámetro ‘form-id’ en todas las versiones hasta, e incluyendo, la 1.1.1 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la…
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Falsificación de petición entre sitios
El plugin de WordPress Almacenamiento de datos del lado del administrador para Contact Form 7 es vulnerable a Falsificación de petición entre sitios (CSRF) en todas las versiones hasta, e incluyendo, la 1.1.1. Esta vulnerabilidad se debe a la falta o incorrecta validación del nonce en la función de actualización de configuración. Esto permite que…
-
Almacenamiento de datos en el lado del administrador para el plugin Contact Form 7 <= 1.1.1 – Autorización faltante para la actualización de estado no autenticado
El almacenamiento de datos en el lado del administrador para el plugin Contact Form 7 de WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función zt_dcfcf_change_status() en todas las versiones hasta, e incluyendo, la 1.1.1. Esto hace posible que atacantes no autenticados alteren…
-
Almacenamiento de datos del lado del administrador para Contact Form 7 <= 1.1.1 – Falta de Autorización para la Modificación del Estado de Marcador no Autenticado
El plugin de WordPress Admin side data storage for Contact Form 7 es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función zt_dcfcf_change_bookmark() en todas las versiones hasta, e incluyendo, la 1.1.1. Esto permite a atacantes no autenticados alterar estados de marcadores. La falta de autorización…
-
Vulnerabilidad de Cross-Site Scripting almacenado en Tabs Shortcode and Widget <= 1.17 para WordPress
El plugin Tabs Shortcode and Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes del plugin en todas las versiones hasta, e incluyendo, la 1.17 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados con…
-
Página de Mantenimiento <= 1.0.8 – Falta de Autorización para Exposición de Información Sensible
El plugin de Mantenimiento de Página para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función subscribe_download enganchada a través de la acción AJAX en todas las versiones hasta, e incluyendo, la 1.0.8. Esto hace posible que atacantes autenticados, con acceso de suscriptor…