Ultimas Noticias
-
Starbox – la Caja de Autor para Humanos <= 3.4.7 – Referencia Directa a Objetos Insegura
El plugin Starbox – la Caja de Autor para Humanos para WordPress es vulnerable a Referencia Directa a Objetos Insegura en todas las versiones hasta, e incluyendo, la 3.4.7 a través de la función de acción debido a la falta de validación en una clave controlada por el usuario. Esto hace posible que los suscriptores…
-
Contact Form Entries <= 1.3.2 – Carga arbitraria de archivos autenticada (Administrador+)
El plugin Contact Form Entries para WordPress es vulnerable a la carga arbitraria de archivos debido a una validación insuficiente de archivos en la función ‘view_page’ en versiones hasta y incluyendo la 1.3.2. Esto permite que atacantes autenticados con capacidades de administrador o superiores, carguen archivos arbitrarios en el servidor del sitio afectado, lo cual…
-
Actualización Arbitraria de Opciones en Cookie Information | Free GDPR Consent Solution <= 2.0.22 – Autenticado (Suscriptor+)
El plugin de Cookie Information | Free GDPR Consent Solution para WordPress es vulnerable a actualizaciones arbitrarias de opciones debido a la falta de verificación de capacidades en su controlador de solicitudes AJAX en versiones hasta, e incluyendo, la 2.0.22. Esto permite a atacantes autenticados, con acceso de nivel suscriptor o superior, editar opciones arbitrarias…
-
Vulnerabilidad de Cross-Site Scripting almacenada en SiteOrigin Widgets Bundle <= 1.58.1
La versión 1.58.1 y anteriores del plugin SiteOrigin Widgets Bundle para WordPress presentan una vulnerabilidad de Cross-Site Scripting almacenada, que permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario accede a la página infectada. La vulnerabilidad se produce debido a una sanitización…
-
MapPress <= 2.88.16 – XSS almacenado a través de ajustes del mapa
El complemento MapPress Maps for WordPress para WordPress es vulnerable a XSS almacenado a través de los parámetros de ancho y alto en todas las versiones hasta la 2.88.16 debido a una insuficiente sanitización de la entrada y escapado de la salida. Esto permite que atacantes autenticados, con acceso de colaborador o superior, inyecten secuencias…
-
Instant Images <= 6.1.0 – Actualización arbitraria de opciones autenticadas (Autor+)
El plugin Instant Images – One Click Image Uploads from Unsplash, Openverse, Pixabay and Pexels para WordPress es vulnerable a una actualización no autorizada de opciones debido a una verificación insuficiente que no verifica si la opción actualizada pertenece al plugin en el punto final instant-images/license REST API en todas las versiones hasta, e incluyendo,…
-
Order Delivery Date for WP e-Commerce <= 1.2 – Cross-Site Scripting sin autenticación almacenada
El complemento Order Delivery Date for WP e-Commerce para WordPress es vulnerable a Cross-Site Scripting almacenada a través del parámetro ‘available-days-tf’ en todas las versiones hasta, e incluyendo, la 1.2 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se…