Ultimas Noticias
-
Insert PHP Code Snippet <= 1.3.4 – Cross-Site Scripting Almacenada Autenticada (Admin+)
El plugin Insert PHP Code Snippet para WordPress es vulnerable a Cross-Site Scripting Almacenada a través del nombre de usuario al acceder a la página de gestión de insert-php-code-snippet en todas las versiones hasta, e incluyendo, la 1.3.4 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de autorización faltante en el plugin de soporte y ayuda de WordPress
El plugin Awesome Support – WordPress HelpDesk & Support es vulnerable a accesos no autorizados debido a una verificación de capacidades faltante en la función wpas_get_users() conectada a través de AJAX en todas las versiones hasta y incluyendo la 6.1.7. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, obtengan información de…
-
Vulnerabilidad de autorización faltante en el complemento Awesome Support – WordPress HelpDesk & Support <= 6.1.7
El complemento Awesome Support – WordPress HelpDesk & Support para WordPress es vulnerable a accesos no autorizados debido a una verificación de capacidad faltante en la función editor_html() en todas las versiones hasta, e incluyendo, la 6.1.7. Esto permite que atacantes autenticados, con un nivel de acceso de suscriptor o superior, vean publicaciones protegidas por…
-
Internal Link Juicer <= 2.23.4 – Autenticación (Admin+) Cross-Site Scripting almacenada
En este artículo se informa sobre una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Internal Link Juicer: SEO Auto Linker for WordPress para WordPress, que afecta a todas las versiones hasta la 2.23.4. Los atacantes autenticados con nivel de administrador pueden aprovechar esta vulnerabilidad para inyectar scripts web maliciosos en las páginas, lo que…
-
Event Manager, Events Calendar, Events Tickets for WooCommerce – Eventin <= 3.3.50 – Falta de autorización para exportar eventos sin autenticación
El plugin Event Manager, Events Calendar, Events Tickets for WooCommerce – Eventin para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidad en la función export_data() en todas las versiones hasta, e incluyendo, la 3.3.50. Esto permite que atacantes sin autenticación exporten datos de eventos. La…
-
Backuply – Denegación de Servicio
En este informe de seguridad, vamos a hablar sobre una vulnerabilidad de Denegación de Servicio (DoS) en el plugin Backuply – Backup, Restore, Migrate and Clone para WordPress. Esta vulnerabilidad puede permitir a atacantes no autenticados realizar solicitudes excesivas al servidor, lo que puede agotar los recursos del mismo. El plugin Backuply – Backup, Restore,…
-
Royal Elementor Addons and Templates <= 1.3.87 – Vulnerabilidad de XSS almacenada autenticada (Contributor+)
En este informe de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada autenticada en el plugin Royal Elementor Addons and Templates para WordPress, en versiones hasta y incluyendo la 1.3.87. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada…