Ultimas Noticias
-
Post Thumbnail Editor <= 2.4.8 – Exposición de Información Sensible
El complemento Post Thumbnail Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.4.8. Esto permite que atacantes no autenticados extraigan datos sensibles de usuarios o configuraciones. El complemento Post Thumbnail Editor para WordPress permite a los usuarios editar las miniaturas de las publicaciones. Sin…
-
Quicksand Post Filter jQuery Plugin <= 3.1.1 – Cross-Site Request Forgery vía renderAdmin
El complemento Quicksand Post Filter jQuery Plugin para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 3.1.1. Esto se debe a una validación de nonce faltante o incorrecta en la función ‘renderAdmin’. Esto permite que atacantes no autenticados actualicen opciones arbitrarias del sitio a través de una solicitud falsificada,…
-
Vulnerabilidad de Cross-Site Scripting almacenado en el plugin BEAR <= 1.1.4 para WordPress
El plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce de Pluginus.Net para WordPress es vulnerable a Cross-Site Scripting almacenado a través de las opciones del plugin en todas las versiones hasta, e incluyendo, la 1.1.4 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes…
-
BEAR <= 1.1.4 – Falta de autorización en varias funciones
En este informe de seguridad, se ha descubierto una vulnerabilidad de falta de autorización en el plugin BEAR para WordPress. Esta vulnerabilidad afecta a las versiones hasta 1.1.4 y permite a usuarios autenticados realizar acciones no autorizadas. A continuación, se detallarán las posibles soluciones para subsanar este problema. El plugin BEAR para WordPress es vulnerable…
-
WP Dummy Content Generator <= 3.1.2 – Falta de Autorización
En este reporte de seguridad vamos a hablar sobre una vulnerabilidad en el plugin WP Dummy Content Generator para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a la falta de verificación de capacidades en las funciones wp_dummy_content_generatorDeletePosts() y wp_dummy_content_generatorAjaxGenPosts() en las versiones hasta, e incluyendo, la 3.1.2. Esto permite que atacantes…
-
Royal Elementor Kit <= 1.0.116 – Falta de Autorización para Actualización Transitoria Arbitraria
El tema Royal Elementor Kit para WordPress es vulnerable a una actualización transitoria arbitraria no autorizada debido a la falta de verificación de capacidad en la función dismissed_handler en todas las versiones hasta, e incluyendo, la 1.0.116. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, actualizar transitorios arbitrarios. Cabe destacar que estos…
-
PowerPack Pro for Elementor < 2.10.8 – Modificación de la Configuración del Plugin y Cross-Site Scripting (XSS) mediante Cross-Site Request Forgery (CSRF)
En este informe de seguridad se describe una vulnerabilidad de Cross-Site Request Forgery en la versión anterior a 2.10.8 del plugin PowerPack Pro for Elementor para WordPress. La falta de validación de nonce o su incorrecta implementación permite a atacantes no autenticados modificar la configuración del plugin e inyectar scripts web arbitrarios en páginas mediante…