Ultimas Noticias
-
UserPro <= 5.1.6 – Bypass de registro de membresía deshabilitada
El plugin UserPro para WordPress es vulnerable a un Bypass de Característica de Seguridad en todas las versiones hasta, e incluyendo, la 5.1.6. Esto se debe al uso de restricciones en el lado del cliente para hacer cumplir la característica de ‘Registro deshabilitado’ de membresía dentro de la configuración general del plugin. Esto permite a…
-
Calculated Fields Form <= 1.2.52 – Cross-Site Scripting Almacenado Autenticado (Contributor+)
El plugin Calculated Fields Form para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode CP_CALCULATED_FIELDS del plugin en todas las versiones hasta, e incluyendo, la 1.2.52 debido a una insuficiente sanitización de la entrada y escape de salida en el atributo ‘location’ proporcionado por el usuario. Esto permite a atacantes autenticados con…
-
ARMember <= 4.0.24 – Control de acceso inadecuado que expone información sensible a través de la API REST
El plugin ARMember para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 1.0.21 a través de la API REST. Esto permite que atacantes no autenticados eviten la característica de ‘Restricción por defecto’ del plugin y vean contenido restringido de publicaciones. La vulnerabilidad de control de acceso inadecuado…
-
Vulnerabilidad de Inyección de Objetos en ProductX – WooCommerce Builder & Gutenberg WooCommerce Blocks <= 3.1.4
En este reporte de seguridad se ha identificado una vulnerabilidad de deserialización de datos no confiables en el plugin ProductX – WooCommerce Builder & Gutenberg WooCommerce Blocks para WordPress. Esta vulnerabilidad permite a atacantes no autenticados inyectar un Objeto PHP y potencialmente ejecutar código malicioso, eliminar archivos o acceder a datos sensibles en el sistema…
-
Orbit Fox by ThemeIsle <= 2.10.28 – Falta de Autorización
En este artículo, discutiremos la vulnerabilidad de la falta de autorización en el plugin Orbit Fox by ThemeIsle para WordPress. Esta vulnerabilidad permite que usuarios no autenticados modifiquen datos de manera no autorizada, lo que podría comprometer la seguridad del sitio web. El plugin Orbit Fox by ThemeIsle para WordPress es vulnerable a la modificación…
-
Orbit Fox by ThemeIsle <= 2.10.29 – Cross-Site Request Forgery
El complemento Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, incluyendo, la 2.10.29. Esto se debe a la falta o validación incorrecta de un nonce en la función register_reference(). Esto permite a atacantes no autenticados actualizar las claves de API conectadas mediante una solicitud falsificada,…
-
Ninja Forms Contact Form <= 3.7.1 – Inyección de SQL de segundo orden sin autenticación
En este reporte de seguridad se ha identificado una vulnerabilidad de inyección de SQL de segundo orden sin autenticación en el plugin Ninja Forms Contact Form – The Drag and Drop Form Builder para WordPress. Esta vulnerabilidad permite a atacantes no autenticados insertar código SQL en la dirección de correo electrónico enviada a través de…