Ultimas Noticias
-
Directorist <= 7.8.4 – Falta de Autorización para Cambios en la Configuración sin Autenticación
El plugin Directorist – WordPress Business Directory Plugin with Classified Ads Listings para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función ‘setup_wizard’ en todas las versiones hasta, e incluyendo, la 7.8.4. Esto permite a atacantes no autenticados recrear páginas por defecto y…
-
SKT Page Builder <= 4.1 – Inyección de Contenido No Autorizado en Contenido Autenticado (Suscriptor+)
El complemento SKT Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘saveSktbuilderPageData’ en todas las versiones hasta, e incluyendo, la 4.1. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar contenido arbitrario en las páginas.…
-
Sunshine Photo Cart: Galerías gratuitas para fotógrafos <= 3.0.24 – Exposición de información sensible no autenticada a través de facturas
El complemento Sunshine Photo Cart: Galerías gratuitas para fotógrafos para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 3.0.24 a través de la función ‘invoice’. Esto hace posible que atacantes no autenticados extraigan datos sensibles, incluyendo direcciones de correo electrónico y físicas de los clientes. La…
-
SiteOrigin Widgets Bundle <= 1.58.3 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo, abordaremos una grave vulnerabilidad de seguridad en el plugin SiteOrigin Widgets Bundle para WordPress, que permite la ejecución de scripts maliciosos en páginas web. Los atacantes autenticados con acceso de colaborador o superior pueden aprovechar esta vulnerabilidad para inyectar scripts que se ejecutarán cuando un usuario acceda a una página comprometida. La…
-
Before After Image Slider WP <= 2.2 – Cross-Site Scripting almacenada autenticada (Contribuidor+) a través de shortcode
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin Before After Image Slider WP para WordPress, en versiones hasta y incluyendo la 2.2, permite la inyección de scripts web arbitrarios en las páginas. Esto es posible debido a la insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por los usuarios. Los…
-
Brooklyn <= 4.9.7.6 – Inyección de Objetos PHP
El tema Brooklyn para WordPress es vulnerable a una Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 4.9.7.6 a través de la deserialización de datos no confiables de un parámetro desconocido. Esto permite a los atacantes autenticados, con acceso de suscriptor en adelante, inyectar un Objeto PHP. No se encuentra presente…
-
Brooklyn <= 4.9.7.6 – Cross-Site Scripting (XSS) Reflejado
En este reporte de seguridad, analizaremos la vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el tema Brooklyn para WordPress, en versiones hasta la 4.9.7.6. Esta vulnerabilidad se produce debido a una falta de saneamiento de la entrada y de la escape de salida, lo que permite a atacantes no autenticados insertar scripts web arbitrarios en…