Ultimas Noticias
-
WP Cookie Consent ( para GDPR, CCPA & ePrivacy ) <= 3.0.2 – Falta de Autorización para Supresión Arbitraria de Publicaciones no Autenticada
El plugin WP Cookie Consent ( para GDPR, CCPA & ePrivacy ) para WordPress es vulnerable a la pérdida no autorizada de datos debido a una falta de verificación de capacidad en la función gdpr_policy_process_delete() en todas las versiones hasta, e incluyendo, la 3.0.2. Esto permite que atacantes no autenticados eliminen publicaciones arbitrarias. Los usuarios…
-
Customer Reviews for WooCommerce <= 5.46.0 – Falta de Autorización para Enviar Correos Electrónicos Arbitrarios
La vulnerabilidad CVE-2024-3243 en el plugin Customer Reviews for WooCommerce para WordPress permite la ejecución de envío de correos electrónicos no autorizados debido a la falta de comprobación de capacidades en la función send_test_email() en todas las versiones hasta, e incluyendo, la 5.46.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
SQL Injection y Cross-Site Scripting en WooCommerce Google Feed Manager
En este informe se detalla la vulnerabilidad de SQL Injection y Cross-Site Scripting en el plugin WooCommerce Google Feed Manager para WordPress, hasta la versión 2.4.2. Esta vulnerabilidad permite a atacantes autenticados con nivel de administrador o superior, agregar consultas SQL adicionales en consultas existentes para extraer información sensible de la base de datos. El…
-
Vulnerabilidad de Cross-Site Scripting (XSS) en el plugin BA Book Everything <= 1.6.8 para WordPress
El plugin BA Book Everything para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘all-items’ del plugin en todas las versiones hasta, e incluyendo, la 1.6.8 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos suministrados por el usuario como ‘classes’. Esto permite a atacantes autenticados,…
-
Vulnerabilidad en Paid Memberships Pro <= 3.0.1 – Cross-Site Request Forgery
El plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.0.1. La vulnerabilidad radica en la falta de validación de nonce en la función pmpro_update_level_group_order(), lo que permite a atacantes no autenticados actualizar los niveles…
-
Plugin de WordPress User Registration – Custom Registration Form, Login Form, and User Profile <= 3.1.5 – Falta de Autorización para Borrar Medios sin Autenticación
El plugin User Registration – Custom Registration Form, Login Form, and User Profile para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función profile_pic_remove en las versiones hasta, e incluyendo, la 3.1.5. Esto permite que atacantes no autenticados eliminen cualquier archivo de medios.…
-
Shortcodes y funciones adicionales para el tema Phlox <= 2.15.5 – Cross-Site Scripting almacenado autenticado (Contribuidor+)
El plugin Shortcodes y funciones adicionales para el tema Phlox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Elemento HTML en todas las versiones hasta, e incluyendo, la 2.15.5 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite que atacantes autenticados, con acceso de contribuidor o…