Ultimas Noticias
-
Icons Font Loader <= 1.1.4 – Carga de archivos arbitrarios autenticados (Administrador+)
El plugin Icons Font Loader para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘upload’ en versiones hasta, e incluyendo, 1.1.4. Esto permite que atacantes autenticados, con acceso de administrador y superior, carguen archivos arbitrarios en el servidor del sitio afectado,…
-
Vulnerabilidad de autorización faltante en Woostify Sites Library
En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento de WordPress Woostify Sites Library. Esta vulnerabilidad, identificada como CVE-2023-6279, permite a usuarios autenticados actualizar opciones de blogs arbitrarios y establecerlos como ‘activados’, lo que podría llevar a un ataque de denegación de servicio (DoS) cuando se utiliza un nombre de opción…
-
Heateor Social Login <= 1.1.30 – Autenticación(Contributor+) Almacenado Cross-Site Scripting a través de Shortcode
En el presente informe de seguridad, se informa sobre una vulnerabilidad encontrada en el plugin Heateor Social Login para WordPress que permite la ejecución de ataques de Cross-Site Scripting (XSS) almacenados a través de los shortcodes del plugin. Esta vulnerabilidad afecta a las versiones hasta la 1.1.30 del plugin y permite a atacantes autenticados con…
-
Pagelayer <= 1.7.9 – Cross-Site Scripting almacenada autenticada (Administrador+) a través del código Header/Footer
En este reporte de seguridad, se ha identificado una vulnerabilidad en el plugin de WordPress Page Builder: Pagelayer. Esta vulnerabilidad permite la ejecución de scripts maliciosos en páginas específicas a través del código Header/Footer. Es importante destacar que esto solo afecta a instalaciones de WordPress que tienen habilitada la opción de múltiples sitios o donde…
-
Easy Digital Downloads <= 3.2.6 – Cross-Site Scripting almacenada a través de opciones de precios variables
En este artículo, se discutirá una vulnerabilidad de seguridad en el plugin Easy Digital Downloads para WordPress. Se ha descubierto que la versión 3.2.6 y anteriores son susceptibles a un ataque de scripting de sitios cruzados almacenados, que permite a los atacantes inyectar scripts maliciosos en páginas específicas del sitio. La vulnerabilidad se origina en…
-
The Plus Addons for Elementor <= 5.3.3 – Cross-Site Scripting almacenado (Contributor+) Autenticado
El complemento The Plus Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado en todas las versiones hasta, e incluyendo, la versión 5.3.3 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en…
-
Popup More <= 2.2.4 – Ruta de directorio truncada autenticada (Admin+) a Inclusión de archivos locales limitada
El complemento Popup More Popups, Lightboxes y más ventanas emergentes para WordPress es vulnerable a la Inclusión de archivos locales en la versión 2.1.6 a través de la función ycfChangeElementData(). Esto permite que atacantes autenticados, con acceso de nivel de administrador y superior, incluyan y ejecuten archivos arbitrarios que terminan con ‘Form.php’ en el servidor,…