Ultimas Noticias
-
Todas las páginas 404 redirigen a la página de inicio <= 1.9 – Inyección de script entre sitios almacenada no autenticada
En este informe de seguridad, se ha descubierto una vulnerabilidad en el complemento ‘All 404 Pages Redirect to Homepage’ para WordPress. Esta vulnerabilidad permite la ejecución de código malicioso en páginas específicas, lo cual puede comprometer la seguridad de tu sitio. El complemento ‘All 404 Pages Redirect to Homepage’ para WordPress, en versiones hasta la…
-
WP Contact Form <= 1.6 – Cross-Site Request Forgery via wpcf_adminpage
En este artículo abordaremos la vulnerabilidad de Cross-Site Request Forgery (CSRF) presente en el plugin WP Contact Form para WordPress, en versiones hasta 1.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘wpcf_adminpage’. Esto permite que atacantes no autenticados modifiquen la configuración del plugin a través de una petición…
-
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Basic Log Viewer <= 1.0.4
En este artículo, discutiremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) que afecta al plugin Basic Log Viewer para WordPress. Esta vulnerabilidad puede ser explotada por atacantes no autenticados para eliminar registros de errores mediante solicitudes falsificadas. A continuación, describiremos en detalle la vulnerabilidad y ofreceremos soluciones para mitigar el riesgo. El plugin Basic Log…
-
Vulnerabilidad de Missing Authorization en el plugin Login Lockdown – Protect Login Form <= 2.08
En este artículo hablaremos sobre una vulnerabilidad de Missing Authorization en el plugin Login Lockdown – Protect Login Form hasta la versión 2.08. Esta vulnerabilidad permite a atacantes autorizados acceder a los datos sin autorización. Continúa leyendo para conocer más detalles sobre esta vulnerabilidad y las posibles soluciones. El plugin Login Lockdown – Protect Login…
-
RSS Aggregator by Feedzy <= 4.4.2 – Falta de autorización para creación y publicación de páginas arbitrarias
El complemento RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en las funciones ‘feedzy_wizard_step_process’ y ‘import_status’ en todas las versiones hasta, e incluyendo, la 4.4.2. Esto permite a los…
-
Vulnerabilidad de Inyección SQL Autenticada (Contributor+) en RSS Aggregator by Feedzy <= 4.4.2
En este artículo se describe una vulnerabilidad de inyección SQL autenticada en la versión hasta 4.4.2 del plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con acceso de contribuidor o superior, agregar consultas SQL adicionales a consultas existentes, lo…
-
Awesome Support – WordPress HelpDesk & Support Plugin <= 6.1.7 – Inyección de SQL autenticada (Suscriptor+)
En este reporte de seguridad se ha identificado una vulnerabilidad de Inyección de SQL en el plugin Awesome Support – WordPress HelpDesk & Support Plugin para WordPress, en su versión 6.1.7 y anteriores. Esta vulnerabilidad permite a atacantes autenticados con privilegios de suscriptor o superior, ejecutar consultas SQL maliciosas y extraer información confidencial de la…