Ultimas Noticias
-
Vulnerabilidad en Views for WPForms <= 3.2.2 – Cross-Site Request Forgery a través de save_view
El plugin Views for WPForms – Display & Edit WPForms Entries on your site frontend para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery en todas las versiones hasta la 3.2.2, denominada CVE-2024-0373. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘save_view’. Esto permite que atacantes no autenticados modifiquen…
-
Marketing Twitter Bot <= 1.11 – Cross-Site Request Forgery para Actualización de Configuraciones y Cross-Site Scripting
El plugin Marketing Twitter Bot para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 1.11. Esto se debe a una validación incorrecta o ausente de nonce en una función. Esto permite que atacantes no autenticados actualicen las configuraciones del plugin e inyecten scripts maliciosos a través de una solicitud…
-
Add SVG Support for Media Uploader | inventivo <= 1.0.5 – Cross-Site Scripting almacenada (Autor+) autenticada mediante SVG
El complemento Add SVG Support for Media Uploader | inventivo para WordPress es vulnerable a Cross-Site Scripting almacenada mediante archivos SVG en todas las versiones hasta, e incluyendo, la versión 1.0.5 debido a una insuficiente sanitización de entradas y escapado de salidas. Esto permite que atacantes autenticados con permisos de autor y superiores inyecten scripts…
-
aBitGone CommentSafe <= 1.0.0 – Cross-Site Request Forgery para Actualizar Configuraciones y Cross-Site Request Forgery
El plugin aBitGone CommentSafe para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.0.0. Esto se debe a la falta de validación de nonce o una validación incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen las configuraciones del plugin e inyecten JavaScript malicioso…
-
Vulnerabilidad de Escritura de Código en Better Follow Button para Jetpack <= 8.0 – Cross-Site Scripting Almacenada Autenticada (Admin+)
El complemento Better Follow Button para Jetpack en WordPress es vulnerable a Cross-Site Scripting Almacenada a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 8.0 debido a una sanitización insuficiente de la entrada y a la falta de escapado de salida. Esto permite a atacantes autenticados, con permisos de…
-
illi Link Party! <= 1.0 – Falta de Autorización para Eliminación Arbitraria de Enlaces
El plugin illi Link Party! para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidad en una función en todas las versiones hasta, e incluyendo, la 1.0. Esto permite que atacantes no autenticados eliminen enlaces arbitrarios. El plugin illi Link Party! para WordPress es ampliamente utilizado para gestionar…
-
Ultimate Noindex Nofollow Tool <= 1.1.2 – Cross-Site Request Forgery para Actualizar Configuraciones
El plugin Ultimate Noindex Nofollow Tool para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en las versiones hasta, e incluyendo, la 1.1.2. Esto se debe a la falta de validación de nonce o a una validación incorrecta en una función. Esto permite a atacantes no autenticados actualizar las configuraciones del plugin mediante solicitudes falsificadas,…