Ultimas Noticias
-
Vulnerabilidad en Gold Addons for Elementor <= 1.3.2 – Autorización faltante para activar/desactivar licencias
El plugin Gold Addons for Elementor para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en las funciones activate() y deactivate() en todas las versiones hasta, e incluyendo, la 1.3.2. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, activen y desactiven…
-
ForumWP – Foro y Tablero de Discusión <= 2.1.2 – Cross-Site Scripting Reflejado a través del Parámetro url
El plugin ForumWP – Foro y Tablero de Discusión para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro ‘url’ en todas las versiones hasta la 2.1.2 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que…
-
Friends <= 3.2.1 – Falta de Autorización
El plugin Friends para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidades en varios puntos finales de la API REST en todas las versiones hasta, e incluyendo, la 3.2.1. Esto permite que atacantes no autenticados envíen solicitudes de amistad arbitrarias en nombre de otro sitio web, acepten…
-
Galería de Carpetas <= 1.7.4 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting Almacenado en el plugin Folder Gallery para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior injectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. La versión 1.7.4 y anteriores del plugin Folder Gallery para WordPress son vulnerables a…
-
ForumWP – Forum & Discussion Board <= 2.1.2 – Cross-Site Scripting Reflejado
El plugin ForumWP – Forum & Discussion Board para WordPress es vulnerable a Cross-Site Scripting Reflejado debido a la falta de escape adecuado en las URL en todas las versiones hasta, e incluyendo, la 2.1.2. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un…
-
Filtro de Mensajes para Contact Form 7 <= 1.6.3 – Falta de Autorización para Actualizaciones/Eliminaciones de Filtros
El plugin Message Filter for Contact Form 7 para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidad en las funciones updateFilter() y deleteFilter() en todas las versiones hasta, e incluyendo, la 1.6.3. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar…
-
TwentyTwenty <= 1.0.1 – Cross-Site Scripting Almacenado Autenticado (Contribuidores+)
El plugin TwentyTwenty para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘twentytwenty’ en todas las versiones hasta, e incluyendo, la 1.0.1 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor y superior,…