Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenada autenticada (Administrator+) en el plugin SEO de Squirrly SEO <= 12.3.15 a través de la configuración del plugin
En este informe de seguridad, se ha descubierto una vulnerabilidad en el plugin de SEO de Squirrly SEO para WordPress que permite a los atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en las páginas del sitio. Esto puede conducir a ataques de Cross-Site Scripting almacenada, lo que pone en riesgo…
-
WP Dashboard Notes <= 1.0.10 – Falta de Autorización para la Actualización Arbitraria de Notas Privadas
La vulnerabilidad de la falta de autorización en el plugin WP Dashboard Notes para WordPress permite a atacantes autenticados y con nivel de acceso de contribuidor o superior, modificar notas privadas creadas por otros usuarios. El plugin WP Dashboard Notes para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta…
-
Vulnerabilidad de Cross-Site Scripting almacenada a través de Allow SVG <= 1.1 – Authenticated (Author+)
En este informe de seguridad, analizaremos una vulnerabilidad crítica en el complemento Allow SVG para WordPress. Esta vulnerabilidad, identificada como CVE-2023-6541, permite a atacantes autenticados inyectar scripts maliciosos en páginas web, lo que puede llevar a ataques de tipo Cross-Site Scripting (XSS). La descripción corta de esta vulnerabilidad nos indica que el problema radica en…
-
coreActivity <= 1.8 – Cross-Site Scripting (XSS) almacenado sin autenticación
En este artículo se abordará la vulnerabilidad de Cross-Site Scripting (XSS) almacenado sin autenticación en el plugin coreActivity, utilizado en WordPress. Esta vulnerabilidad puede permitir a atacantes no autenticados inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a dichas páginas inyectadas. El plugin coreActivity para WordPress es vulnerable…
-
(Simply) Guest Author Name <= 4.34 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo hablaremos sobre una vulnerabilidad de seguridad en el plugin (Simply) Guest Author Name para WordPress. Esta vulnerabilidad, identificada como CVE-2024-0254, permite la ejecución de scripts maliciosos en páginas web, comprometiendo la seguridad de tu sitio. El plugin (Simply) Guest Author Name para WordPress presenta una vulnerabilidad de Cross-Site Scripting almacenada debido a…
-
Meks Smart Social Widget <= 1.6.3 – Cross-Site Scripting almacenado autenticado (Admin+)
El plugin Meks Smart Social Widget para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Meks Smart Social Widget en todas las versiones hasta, e incluyendo, la 1.6.3 debido a una sanitización insuficiente de la entrada y a una escapada insuficiente de la salida. Esto permite a atacantes autenticados, con acceso de…
-
InstaWP Connect <= 0.1.0.9 – Falta de autorización para la divulgación de información sensible
El complemento InstaWP Connect – 1-click WP Staging & Migration para WordPress es vulnerable a un acceso no autorizado a los datos debido a la falta de una verificación de capacidad en todas las versiones hasta, e incluyendo, la 0.1.0.9. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, extraer información sensible.…