Recopilación de vulnerabilidades WordPress.

Ultimas Noticias

  • WPForms Pro <= 1.8.5.3 – Cross-Site Scripting almacenado sin autenticación a través del envío de formularios

    En este artículo, analizaremos una vulnerabilidad de seguridad en el plugin WPForms Pro para WordPress, que permite la ejecución de scripts de sitios cruzados almacenados sin autenticación mediante el envío de formularios. El plugin WPForms Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de parámetros de envío de formularios en todas las…

    Leer Mas

  • Cryptocurrency Widgets – Price Ticker y Coins List 2.0 – 2.6.5 – Inyección SQL no autenticada

    El complemento Cryptocurrency Widgets – Price Ticker y Coins List para WordPress es vulnerable a una Inyección SQL a través del parámetro ‘coinslist’ en las versiones 2.0 a 2.6.5 debido a una escapada insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que…

    Leer Mas

  • Vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web para WordPress

    En este artículo, discutiremos una vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery para WordPress. Esta vulnerabilidad puede permitir a atacantes autenticados renombrar archivos arbitrarios en el servidor, lo que podría llevar a un compromiso del sitio. El complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery…

    Leer Mas

  • WPvivid <= 0.9.94 – Falta de Autorización

    El plugin WPvivid para WordPress es vulnerable a la falta de autorización en las funciones restore() y get_restore_progress() en versiones hasta, e incluyendo, la versión 0.9.94. Esto permite que atacantes no autenticados invoquen estas funciones y obtengan rutas de archivo completas si tienen acceso a un ID de respaldo. La falta de autorización en el…

    Leer Mas

  • VK Block Patterns <= 1.31.1.1 – Cross-Site Request Forgery

    El plugin VK Block Patterns para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 1.31.1.1. Esto se debe a la falta de validación de nonce o una validación incorrecta en la función vbp_clear_patterns_cache(). Esto permite a atacantes no autenticados eliminar la caché de patrones a través de…

    Leer Mas

  • ColorMag <= 3.1.2 – Falta de Autorización para la Instalación Arbitraria de Plugins

    La vulnerabilidad ‘Missing Authorization’ en el tema ColorMag para WordPress permite el acceso no autorizado debido a la falta de una verificación de capacidades en la función plugin_action_callback() en todas las versiones hasta, e incluyendo, la 3.1.2. Esto significa que atacantes autenticados, con acceso de nivel suscriptor o superior, pueden instalar y activar plugins arbitrarios.…

    Leer Mas

  • Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 – Autenticado(Editor+)

    En este informe de seguridad se presenta una vulnerabilidad de Cross-Site Scripting almacenada en el plugin enigma-chartjs para WordPress. Esta vulnerabilidad afecta a las versiones hasta y incluyendo la versión 2023.2. Los atacantes autenticados, con acceso de editor o superior, pueden aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…

    Leer Mas