Ultimas Noticias
-
Integración BuddyPress WooCommerce My Account. Crear páginas de Miembro de WooCommerce <= 3.4.20 – Inyección de Objeto PHP Autenticado (Suscriptor+) en get_simple_request
El plugin ‘BuddyPress WooCommerce My Account Integration. Create WooCommerce Member Pages’ para WordPress es vulnerable a Inyección de Objeto PHP en todas las versiones hasta, e incluyendo, la 3.4.20 a través de la deserialización de datos no confiables en la función get_simple_request. Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
Vulnerabilidad de Cross-Site Scripting en Move Addons for Elementor <= 1.2.9
La vulnerabilidad CVE-2024-2131 afecta al plugin de WordPress Move Addons for Elementor, permitiendo a atacantes autenticados con permisos de contributor o superiores inyectar scripts web arbitrarios en páginas. El plugin Move Addons for Elementor hasta la versión 1.2.9 es vulnerable a Cross-Site Scripting almacenado a través del infobox y el widget de botón del plugin,…
-
360 Javascript Viewer <= 1.7.12 – Falta de Autorización para Actualizar Ajustes de Plugin
El plugin 360 Javascript Viewer para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades y exposición de nonce en varias acciones AJAX en todas las versiones hasta, e incluyendo, la 1.7.12. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen…
-
Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.2.25 – XSS Stored Cross-Site Scripting a través del Widget de Testimonios
El plugin Gutenberg Blocks by Kadence Blocks – Page Builder Features para WordPress es vulnerable a XSS Stored Cross-Site Scripting a través del parámetro de estilo de anclaje del Widget de Testimonios en todas las versiones hasta, e incluyendo, la 3.2.25 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a…
-
Network Summary <= 2.0.11 – Inyección SQL sin autenticación
El plugin Network Summary para WordPress es vulnerable a Inyección SQL a través del parámetro ‘category’ en todas las versiones hasta, e incluyendo, la 2.0.11 debido a un escape insuficiente en el parámetro suministrado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados añadan…
-
AI Post Generator | AutoWriter <= 3.3 – Falta de Autorización
El plugin AI Post Generator | AutoWriter para WordPress es vulnerable a accesos no autorizados, modificaciones o eliminaciones de publicaciones debido a la falta de una verificación de capacidades en funciones conectadas por acciones AJAX en todas las versiones hasta, e incluyendo, la 3.3. Esto hace posible que atacantes autenticados, con acceso de suscriptor o…
-
Vulnerabilidad en WP Compress – Image Optimizer <= 6.11.10 por Falta de Autorización para Modificación de CDN no Autenticada
La vulnerabilidad CVE-2024-1934 en el plugin WP Compress – Image Optimizer para WordPress permite a atacantes no autenticados realizar modificaciones en la CDN de forma no autorizada, lo que presenta un riesgo para la integridad de los datos del sitio web. El plugin WP Compress – Image Optimizer hasta la versión 6.11.10 no realiza una…