Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en el Plugin Website Article Monetization By MageNet <= 1.0.11
La vulnerabilidad CVE-2024-1379 afecta al plugin Website Article Monetization By MageNet para WordPress, permitiendo a atacantes no autenticados ejecutar scripts maliciosos en las páginas del sitio web. La vulnerabilidad de Cross-Site Scripting (XSS) se produce debido a una insuficiente sanitización de la entrada y escape de salida, junto con una falta de comprobación de autorización…
-
Notificación de Ventas en Vivo para Woocommerce – Woomotiv <= 3.4.3 – Cross-Site Request Forgery a través de ajax_cancel_review
El plugin Notificación de Ventas en Vivo para Woocommerce – Woomotiv para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.4.3. Esto se debe a la falta o validación incorrecta de nonce en la función ‘ajax_cancel_review’. Esto hace posible que atacantes no autenticados restablezcan el recuento de revisiones…
-
Problema de Exposición de Información en Coming Soon & Maintenance Mode by Colorlib <= 1.0.99
El plugin Coming Soon & Maintenance Mode by Colorlib para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.0.99 a través de la API REST. Esto permite a atacantes no autenticados obtener el contenido de publicaciones y páginas a través de la API REST, evitando así la…
-
RevivePress – Mantén tu contenido antiguo siempre actualizado <= 1.5.6 – Falta de Autorización
El plugin RevivePress – Mantén tu contenido antiguo siempre actualizado para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a la falta de una verificación de capacidad en las funciones import_data y copy_data en todas las versiones hasta, e incluyendo, la 1.5.6. Esto permite a atacantes autenticados, con acceso de nivel…
-
Título: Vulnerabilidad de Cross-Site Scripting Almacenado en Animated Headline <= 4.0 a través de Shortcode
El plugin Animated Headline para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode ‘animated-headline’ en todas las versiones hasta la 4.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida. La vulnerabilidad…
-
Order Tip para WooCommerce <= 1.3.1 – Falta de Autorización para Exportación de Datos no Autenticados
El plugin Order Tip para WooCommerce en WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de verificación de capacidades en la función export_tips_to_csv() en todas las versiones hasta, e incluyendo, la 1.3.1. Esto permite a atacantes no autenticados exportar las tarifas de pedido del plugin. La vulnerabilidad identificada como…
-
Vulnerabilidad en plugin Coming Soon, Under Construction & Maintenance Mode By Dazzler <= 2.1.2 – Bypass de Modo de Mantenimiento
El plugin Coming Soon, Under Construction & Maintenance Mode By Dazzler para WordPress es vulnerable a un bypass de modo de mantenimiento en todas las versiones hasta, e incluyendo, la 2.1.2. Esto se debe a que el plugin se basa en REQUEST_URI para determinar si la página que se está accediendo es un área de…