Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en FooGallery <= 2.4.14
La vulnerabilidad CVE-2024-2471 en el plugin de WordPress FooGallery permite a atacantes almacenar scripts maliciosos que se ejecutarán cuando un usuario acceda a una página comprometida. La versión 2.4.14 y anteriores de FooGallery son susceptibles a un Cross-Site Scripting almacenado debido a una insuficiente sanización de la entrada y escape de la salida en los…
-
BoldGrid Easy SEO – Vulnerabilidad de Exposición de Información
El plugin BoldGrid Easy SEO – Simple and Effective SEO para WordPress es vulnerable a la Exposición de Información en todas las versiones hasta, e incluyendo, la 1.6.14 a través de la información meta (og:description). Esto permite a atacantes no autenticados ver los primeros 130 caracteres de una publicación protegida por contraseña que puede contener…
-
Sydney Toolbox <= 1.28 – XSS almacenado autenticado (Contribuidor+) a través de la Galería Filtrable
El plugin Sydney Toolbox para WordPress es vulnerable a XSS almacenado a través del widget de Galería Filtrable en todas las versiones hasta, e incluyendo, 1.28 debido a una sanitización insuficiente de la entrada y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de contribuidor y superior,…
-
Icegram Express <= 5.7.14 – Cross-Site Scripting con autenticación (Administrador+) a través de la importación de CSV
El plugin Email Subscribers by Icegram Express para WordPress es vulnerable a Cross-Site Scripting almacenado a través de una importación de CSV en todas las versiones hasta, e incluyendo, la 5.7.14 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite que atacantes autenticados, con permisos de nivel de administrador…
-
WP-Stateless – Google Cloud Storage <= 3.4.0 – Falta de Autorización para Actualizar Opciones Arbitrarias Limitadas
El plugin WP-Stateless – Google Cloud Storage para WordPress es vulnerable a la pérdida no autorizada de datos debido a una falta de verificación de capacidades en la función dismiss_notices() en todas las versiones hasta, e incluyendo, la 3.4.0. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen valores de opción…
-
Image Watermark <= 1.7.3 – Falta de Autorización para Modificación de Marca de Agua por Usuarios Autenticados (Suscriptores+)
El plugin Image Watermark para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función watermark_action_ajax() en todas las versiones hasta, e incluyendo, la 1.7.3. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, apliquen y eliminen marcas de agua de…
-
WordPress Core <= 6.4.3 – Exposición de Información Sensible a través de redirect_guess_404_permalink
WordPress Core es vulnerable a la Exposición de Información Sensible en versiones hasta, e incluyendo, 6.4.3 a través de la función redirect_guess_404_permalink. Esto puede permitir a atacantes no autenticados exponer el slug de una publicación personalizada cuyo estado de publicación ‘publicly_queryable’ se ha establecido en ‘false’. La vulnerabilidad CVE-2023-5692 en WordPress Core hasta la versión…