Ultimas Noticias
-
User Role Editor <= 4.64.3 – CSRF a Escalada de Privilegios
El plugin User Role Editor para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.64.3. Esto se debe a la falta o validación incorrecta de nonce en la función update_roles(). Esto permite a atacantes no autenticados agregar o eliminar roles para usuarios arbitrarios, incluyendo la escalada de privilegios…
-
Stop Registration Spam <= 1.23 – Vulnerabilidad de Cross-Site Request Forgery a Cross-Site Scripting
El plugin Stop Registration Spam para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.23. Esto se debe a la falta o incorrecta validación de nonce. Esto hace posible que atacantes no autenticados inyecten scripts web maliciosos a través de una solicitud falsificada siempre que puedan engañar a…
-
SMS for WooCommerce <= 2.8.1 – Cross-Site Request Forgery to Reflected Cross-Site Scripting
El plugin SMS for WooCommerce para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.8.1. Esta vulnerabilidad se debe a la falta de validación de nonce en una función, lo que permite a atacantes no autenticados inyectar scripts web maliciosos a través de una solicitud falsificada si logran engañar a…
-
Vulnerabilidad en WP All Import Pro <= 4.9.3 – SSRF autenticado (Administrador+) a través de importación de archivos
La vulnerabilidad de Solicitudes Falsificadas del Servidor en el lado del servidor (SSRF) en el complemento WP All Import Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 4.9.3 debido a la falta de protección SSRF en la función pmxi_curl_download. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior,…
-
Vulnerabilidad de Cross-Site Scripting en PowerPack Lite for Beaver Builder <= 1.3.0.5
El plugin PowerPack Lite for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro navigate en todas las versiones hasta, e incluyendo, la 1.3.0.5 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el Plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals <= 1.2.2
El plugin Portfolio – Filterable Masonry Portfolio Gallery for Professionals para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘portfolio-pro’ en todas las versiones hasta, e incluyendo, la 1.2.2 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con…
-
TPG Get Posts <= 3.6.5 – Cross-Site Scripting almacenado autenticado (Colaborador+)
El plugin TPG Get Posts para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tpg_get_posts’ en todas las versiones hasta, e incluyendo, la 3.6.5 debido a una insuficiente sanitización de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador…