Ultimas Noticias
-
Opti Marketing <= 2.0.9 – Inyección SQL sin autenticación
El plugin Opti Marketing para WordPress es vulnerable a Inyección SQL en todas las versiones hasta, e incluyendo, la 2.0.9 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados añadan consultas SQL adicionales a consultas…
-
Vulnerabilidad de Cross-Site Request Forgery en WP MultiTasking <= 0.1.12 al Actualizar Configuración SMTP
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP MultiTasking – WP Utilities para WordPress afecta a todas las versiones hasta, e incluyendo, la 0.1.12. Esto se debe a la falta de validación de nonce correcta o ausente en una función. Esto hace posible que atacantes no autenticados actualicen la configuración SMTP a…
-
Vulnerabilidad en TrueBooker <= 1.0.2 – Cross-Site Request Forgery en la Actualización de Ajustes
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin TrueBooker – Appointment Booking and Scheduler para WordPress, en versiones hasta la 1.0.2. Esta vulnerabilidad es el resultado de una validación de nonce incorrecta o faltante en una función, lo que permite a atacantes no autenticados modificar los ajustes del plugin a…
-
Vulnerabilidad de Cross-Site Request Forgery en WP MultiTasking <= 0.1.12
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP MultiTasking – WP Utilities para WordPress afecta a todas las versiones hasta, e incluyendo, la 0.1.12. Esto se debe a la falta de validación de nonce incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen el mensaje de bienvenida a través…
-
ElementsKit Pro <= 3.6.5 – Cross-Site Scripting almacenado por usuarios autenticados (Contributor+)
El plugin ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de varios parámetros en todas las versiones hasta, e incluyendo, la 3.6.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, inyectar scripts web arbitrarios en páginas…
-
ElementsKit Pro <= 3.6.6 – Exposición de Información Sensible con Autenticación (Contribuidor+)
El plugin ElementsKit Pro para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.6.6 a través de la función ‘render_raw’. Esto puede permitir a atacantes autenticados, con permisos de Contribuidor o superiores, extraer datos sensibles incluyendo publicaciones privadas, futuras y borradores. Los usuarios afectados por esta…
-
LA-Studio Element Kit for Elementor <= 1.3.9.2 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)
El plugin LA-Studio Element Kit for Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado en las versiones hasta, e incluyendo, 1.3.9.2 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se…