Ultimas Noticias
-
Podlove Podcast Publisher <= 4.0.11 – Falta de autorización para importar configuraciones
El plugin Podlove Podcast Publisher para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función init() en todas las versiones hasta, e incluyendo, 4.0.11. Esto permite que atacantes no autenticados importen las configuraciones del plugin. El plugin Podlove Podcast Publisher es una…
-
Podlove Subscribe button <= 1.3.10 – Inyección SQL Autenticada (Contributor+)
El complemento Podlove Subscribe button para WordPress es vulnerable a una inyección de SQL basada en UNION a través del atributo ‘button’ del shortcode podlove-subscribe-button en todas las versiones hasta, e incluyendo, 1.3.10 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el widget de cronología para Elementor (Elementor Timeline, Vertical & Horizontal Timeline) <= 1.5.3 – Autenticado (Contributor+)
En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Timeline Widget For Elementor (Elementor Timeline, Vertical & Horizontal Timeline) para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar código JavaScript malicioso en las páginas del sitio web. A continuación, se…
-
Quiz Maker <= 6.5.2.4 – Autorización faltante para creación y modificación arbitraria de exámenes
En este reporte de seguridad, se destaca una vulnerabilidad en el plugin Quiz Maker para WordPress. Dicha vulnerabilidad permite la modificación no autorizada de datos debido a la falta de una verificación de capacidades en las funciones ays_quick_start() y add_question_rows() en todas las versiones hasta, e incluyendo, la versión 6.5.2.4. Esto significa que, los atacantes…
-
Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X <= 2.2.1 – Falsificación de solicitud entre sitios para actualizar las opciones del plugin
En este artículo, analizaremos una vulnerabilidad de Falsificación de Solicitud entre Sitios (CSRF) en el plugin Custom Twitter Feeds – Widget de tweets personalizados o Widget de feed X para WordPress. Esta vulnerabilidad permite a atacantes no autenticados actualizar el token y el secreto de la API de Twitter del sitio a través de una…
-
All-In-One Security (AIOS) – Security and Firewall <= 5.2.5 – Cross-Site Scripting Reflejado
En este artículo discutiremos una vulnerabilidad de seguridad identificada como CVE-2024-1037 en el plugin All-In-One Security (AIOS) – Security and Firewall para WordPress. Esta vulnerabilidad permite la ejecución de scripts maliciosos, conocida como Cross-Site Scripting Reflejado, a través del parámetro ‘tab’. La versión 5.2.5 y anteriores del plugin All-In-One Security (AIOS) – Security and Firewall…
-
Vulnerabilidad de Cross-Site Scripting almacenada (Authenticated) en PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.14
El plugin PowerPack Addons for Elementor es utilizado comúnmente en sitios web de WordPress para agregar widgets, extensiones y plantillas. Sin embargo, esta popularidad también lo ha convertido en objetivo de ataques, y se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada (Authenticated) en versiones anteriores a 2.7.14. Este tipo de ataque permite a los…