Ultimas Noticias
-
Barcode Scanner with Inventory & Order Manager <= 1.5.4 – Inyección SQL Autenticada (Suscriptor+)
El plugin Barcode Scanner and Inventory manager para WordPress es vulnerable a Inyección SQL ciega a través del parámetro ‘currentIds’ en todas las versiones hasta la 1.5.4, debido a la insuficiente escapada en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Missing Authorization en The Post Grid para WordPress
El plugin The Post Grid – Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid para WordPress presenta una vulnerabilidad de Missing Authorization que permite a atacantes autenticados, con acceso de suscriptor o superior, modificar datos y ajustes del plugin de forma no autorizada. La función rtTPGSaveSettings en todas las versiones hasta la 7.6.1 no…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin de WordPress WP Front User Submit / Front Editor
El plugin de WordPress Guest posting / Frontend Posting – WP Front User Submit / Front Editor presenta una vulnerabilidad de Cross-Site Scripting almacenado (Stored XSS) que afecta a todas las versiones hasta la 4.4.1. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios que se ejecutarán cuando…
-
ACF Front End Editor <= 2.0.2 – Falta de Autorización para Actualización Arbitraria de Contenido (Suscriptor+)
El plugin ACF Front End Editor para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función update_texts() en todas las versiones hasta, e incluyendo, la 2.0.2. Esto permite que los atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen arbitrariamente el…
-
Vulnerabilidad en Booster Extension <= 1.2.0 – Exposición de Información Básica a través de 'booster_extension_authorbox_shortcode_display'
La extensión Booster para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.2.0 a través de la función ‘booster_extension_authorbox_shortcode_display’. Esto permite a atacantes no autenticados extraer datos sensibles incluyendo correos electrónicos de usuarios. La vulnerabilidad se debe a una falta de autorización adecuada, lo que significa…
-
AA Cash Calculator <= 1.0 – XSS Reflejado a través del parámetro de factura
El plugin AA Cash Calculator para WordPress es vulnerable a XSS Reflejado a través del parámetro ‘invoice’ en todas las versiones hasta, e incluyendo, la 1.0 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán si logran engañar…
-
Event Monster <= 1.3.4 – Inyección de Objetos PHP Autenticada(Contribuidor+) a través de Meta Personalizada
El plugin Event Monster – Event Management, Tickets Booking, Upcoming Event para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.4 a través de la deserialización vía shortcode de entrada no confiable de un valor meta personalizado. Esto permite a atacantes autenticados, con acceso de contribuidor y…