Recopilación de vulnerabilidades WordPress.

Ultimas Noticias

  • Ocean Extra <= 2.2.4 – Cross-Site Scripting Almacenado Autenticado (Contributor+)

    En este reporte de seguridad hemos identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Ocean Extra para WordPress, que afecta a todas las versiones hasta la 2.2.4. Esta vulnerabilidad permite a atacantes autenticados, con niveles de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que…

    Leer Mas

  • WP Maintenance <= 6.1.6 – Exposición de información

    El plugin WP Maintenance para WordPress es vulnerable a la Exposición de Información en todas las versiones hasta, e incluyendo, 6.1.6 a través de la API REST. Esto permite a atacantes no autenticados evitar el modo de mantenimiento del plugin y obtener el contenido de publicaciones y páginas a través de la API REST. La…

    Leer Mas

  • Microsoft Clarity <= 0.9.3 – Cross-Site Request Forgery a Stored Cross-Site Scripting

    En este artículo hablaremos sobre una vulnerabilidad de seguridad encontrada en el complemento Microsoft Clarity para WordPress. Esta vulnerabilidad, conocida como Cross-Site Request Forgery (CSRF), permite a atacantes no autenticados cambiar el ID del proyecto y agregar código JavaScript malicioso a través de una solicitud falsificada. Todo esto puede ocurrir si logran engañar a un…

    Leer Mas

  • Bricks <= 1.9.6 – Ejecución Remota de Código sin Autenticación

    El tema de WordPress Bricks es vulnerable a una Ejecución Remota de Código en todas las versiones, incluyendo la 1.9.6. Esto permite que atacantes no autenticados ejecuten código en el servidor. La versión 1.9.6 y anteriores del tema Bricks de WordPress presentan una vulnerabilidad de código inseguro que podría ser aprovechada por atacantes para ejecutar…

    Leer Mas

  • Frontend File Manager <= 22.7 – Exposición de Información Sensible a través de las cargas de usuario

    El complemento Frontend File Manager para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, incluyendo, la 22.7 a través de la funcionalidad de carga de usuarios. Esto permite que atacantes no autenticados accedan a los archivos cargados por los usuarios. La vulnerabilidad CVE-2024-25903 afecta a la versión 22.7 y…

    Leer Mas

  • Malware Scanner <= 4.7.2 – Inyección de SQL Autenticada (Administrador+)

    En este informe de seguridad, abordaremos una vulnerabilidad crítica en el plugin Malware Scanner para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con acceso de administrador y superior, realizar Inyecciones de SQL, lo que puede comprometer la seguridad de tu sitio web y exponer información confidencial. El plugin Malware Scanner para WordPress hasta la versión…

    Leer Mas

  • Vulnerabilidad de Cross-Site Scripting almacenado en PowerPack Addons for Elementor <= 2.7.15 a través del widget de botones de Twitter

    En este informe de seguridad se describe una vulnerabilidad en el plugin PowerPack Addons for Elementor para WordPress, que permite a atacantes autenticados con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que serán ejecutados cuando un usuario acceda a una página infectada. El plugin PowerPack Addons for Elementor, en…

    Leer Mas