Recopilación de vulnerabilidades WordPress.

Ultimas Noticias

  • Multi Step Form <= 1.7.17 – Cross-Site Request Forgery

    Descripción corta: Cross-Site Request Forgery (CSRF). La vulnerabilidad de Cross-Site Request Forgery (CSRF) afecta al plugin Multi Step Form para WordPress en todas las versiones anteriores o igual a 1.7.17. La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Multi Step Form para WordPress pone en riesgo la seguridad de los sitios web que…

    Leer Mas

  • Livemesh Addons para Elementor <= 8.3 – Scripting en Sitio Cruzado Almacenado Autenticado (Contributor+) a través de animated_text_class

    El complemento Livemesh Addons para Elementor en WordPress presenta una vulnerabilidad de Scripting en Sitio Cruzado Almacenado a través del atributo ‘animated_text_class’ en las versiones hasta, e incluyendo, la versión 8.3 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar…

    Leer Mas

  • Comments Like Dislike <= 1.2.1 – IP Spoofing

    El complemento Comments Like Dislike para WordPress es vulnerable a Suplantación de IP en todas las versiones hasta, e incluyendo, 1.2.1, debido al uso de encabezados HTTP proporcionados por el usuario como método principal para la obtención de la IP. Esto permite a atacantes autenticados con privilegios de suscriptor y superiores evadir restricciones de IP.…

    Leer Mas

  • MoveTo <= 6.2 – Subida de Archivos Arbitraria no Autenticada

    El plugin ‘moveto’ para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipo de archivo en una función desconocida en todas las versiones hasta, e incluyendo, la 6.2. Esto permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir…

    Leer Mas

  • MoveTo <= 6.2 – Inyección SQL no autenticada

    En este informe de seguridad, abordaremos la vulnerabilidad de inyección SQL no autenticada en la extensión MoveTo (versión 6.2 y anteriores) para WordPress. Esta vulnerabilidad permite a atacantes no autenticados agregar consultas SQL adicionales a las consultas existentes, lo que puede comprometer información sensible en la base de datos. La extensión MoveTo para WordPress es…

    Leer Mas

  • MoveTo <= 6.2 – Falta de Autorización para Actualizar Opciones sin Autenticación

    El plugin moveTo para WordPress es vulnerable a acceso no autorizado debido a la falta de una verificación de capacidad en una función en todas las versiones hasta, e incluyendo, la 6.2. Esto permite a atacantes no autenticados actualizar opciones arbitrarias de WordPress, lo que potencialmente podría llevar a la toma de control del sitio.…

    Leer Mas

  • La mejor extensión para galerías en WordPress – FooGallery <= 2.4.7: XSS almacenado autenticado (Administrador+) a través de la configuración

    La extensión Best WordPress Gallery Plugin – FooGallery para WordPress es vulnerable a XSS almacenado a través de la configuración del administrador en todas las versiones hasta la 2.4.7, debido a una insuficiente desinfección de la entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web…

    Leer Mas