Recopilación de vulnerabilidades WordPress.

Ultimas Noticias

  • Post Thumbnail Editor <= 2.4.8 – Exposición de Información Sensible

    El complemento Post Thumbnail Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 2.4.8. Esto permite que atacantes no autenticados extraigan datos sensibles de usuarios o configuraciones. El complemento Post Thumbnail Editor para WordPress permite a los usuarios editar las miniaturas de las publicaciones. Sin…

    Leer Mas

  • Quicksand Post Filter jQuery Plugin <= 3.1.1 – Cross-Site Request Forgery vía renderAdmin

    El complemento Quicksand Post Filter jQuery Plugin para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta, e incluyendo, la 3.1.1. Esto se debe a una validación de nonce faltante o incorrecta en la función ‘renderAdmin’. Esto permite que atacantes no autenticados actualicen opciones arbitrarias del sitio a través de una solicitud falsificada,…

    Leer Mas

  • Vulnerabilidad de Cross-Site Scripting almacenado en el plugin BEAR <= 1.1.4 para WordPress

    El plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce de Pluginus.Net para WordPress es vulnerable a Cross-Site Scripting almacenado a través de las opciones del plugin en todas las versiones hasta, e incluyendo, la 1.1.4 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes…

    Leer Mas

  • BEAR <= 1.1.4 – Falta de autorización en varias funciones

    En este informe de seguridad, se ha descubierto una vulnerabilidad de falta de autorización en el plugin BEAR para WordPress. Esta vulnerabilidad afecta a las versiones hasta 1.1.4 y permite a usuarios autenticados realizar acciones no autorizadas. A continuación, se detallarán las posibles soluciones para subsanar este problema. El plugin BEAR para WordPress es vulnerable…

    Leer Mas

  • WP Dummy Content Generator <= 3.1.2 – Falta de Autorización

    En este reporte de seguridad vamos a hablar sobre una vulnerabilidad en el plugin WP Dummy Content Generator para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a la falta de verificación de capacidades en las funciones wp_dummy_content_generatorDeletePosts() y wp_dummy_content_generatorAjaxGenPosts() en las versiones hasta, e incluyendo, la 3.1.2. Esto permite que atacantes…

    Leer Mas

  • Royal Elementor Kit <= 1.0.116 – Falta de Autorización para Actualización Transitoria Arbitraria

    El tema Royal Elementor Kit para WordPress es vulnerable a una actualización transitoria arbitraria no autorizada debido a la falta de verificación de capacidad en la función dismissed_handler en todas las versiones hasta, e incluyendo, la 1.0.116. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, actualizar transitorios arbitrarios. Cabe destacar que estos…

    Leer Mas

  • PowerPack Pro for Elementor < 2.10.8 – Modificación de la Configuración del Plugin y Cross-Site Scripting (XSS) mediante Cross-Site Request Forgery (CSRF)

    En este informe de seguridad se describe una vulnerabilidad de Cross-Site Request Forgery en la versión anterior a 2.10.8 del plugin PowerPack Pro for Elementor para WordPress. La falta de validación de nonce o su incorrecta implementación permite a atacantes no autenticados modificar la configuración del plugin e inyectar scripts web arbitrarios en páginas mediante…

    Leer Mas