Ultimas Noticias
-
WPForms Pro <= 1.8.5.3 – Cross-Site Scripting almacenado sin autenticación a través del envío de formularios
En este artículo, analizaremos una vulnerabilidad de seguridad en el plugin WPForms Pro para WordPress, que permite la ejecución de scripts de sitios cruzados almacenados sin autenticación mediante el envío de formularios. El plugin WPForms Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través de parámetros de envío de formularios en todas las…
-
Cryptocurrency Widgets – Price Ticker y Coins List 2.0 – 2.6.5 – Inyección SQL no autenticada
El complemento Cryptocurrency Widgets – Price Ticker y Coins List para WordPress es vulnerable a una Inyección SQL a través del parámetro ‘coinslist’ en las versiones 2.0 a 2.6.5 debido a una escapada insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que…
-
Vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web para WordPress
En este artículo, discutiremos una vulnerabilidad de Traversal de Directorios en el complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery para WordPress. Esta vulnerabilidad puede permitir a atacantes autenticados renombrar archivos arbitrarios en el servidor, lo que podría llevar a un compromiso del sitio. El complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery…
-
WPvivid <= 0.9.94 – Falta de Autorización
El plugin WPvivid para WordPress es vulnerable a la falta de autorización en las funciones restore() y get_restore_progress() en versiones hasta, e incluyendo, la versión 0.9.94. Esto permite que atacantes no autenticados invoquen estas funciones y obtengan rutas de archivo completas si tienen acceso a un ID de respaldo. La falta de autorización en el…
-
VK Block Patterns <= 1.31.1.1 – Cross-Site Request Forgery
El plugin VK Block Patterns para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta y incluyendo la 1.31.1.1. Esto se debe a la falta de validación de nonce o una validación incorrecta en la función vbp_clear_patterns_cache(). Esto permite a atacantes no autenticados eliminar la caché de patrones a través de…
-
ColorMag <= 3.1.2 – Falta de Autorización para la Instalación Arbitraria de Plugins
La vulnerabilidad ‘Missing Authorization’ en el tema ColorMag para WordPress permite el acceso no autorizado debido a la falta de una verificación de capacidades en la función plugin_action_callback() en todas las versiones hasta, e incluyendo, la 3.1.2. Esto significa que atacantes autenticados, con acceso de nivel suscriptor o superior, pueden instalar y activar plugins arbitrarios.…
-
Vulnerabilidad de Cross-Site Scripting almacenada en Chartjs <= 2023.2 – Autenticado(Editor+)
En este informe de seguridad se presenta una vulnerabilidad de Cross-Site Scripting almacenada en el plugin enigma-chartjs para WordPress. Esta vulnerabilidad afecta a las versiones hasta y incluyendo la versión 2023.2. Los atacantes autenticados, con acceso de editor o superior, pueden aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios en páginas que se ejecutarán cuando…