Ultimas Noticias
-
Icegram Express <= 5.7.14 – Cross-Site Scripting con autenticación (Administrador+) a través de la importación de CSV
El plugin Email Subscribers by Icegram Express para WordPress es vulnerable a Cross-Site Scripting almacenado a través de una importación de CSV en todas las versiones hasta, e incluyendo, la 5.7.14 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite que atacantes autenticados, con permisos de nivel de administrador…
-
WP-Stateless – Google Cloud Storage <= 3.4.0 – Falta de Autorización para Actualizar Opciones Arbitrarias Limitadas
El plugin WP-Stateless – Google Cloud Storage para WordPress es vulnerable a la pérdida no autorizada de datos debido a una falta de verificación de capacidades en la función dismiss_notices() en todas las versiones hasta, e incluyendo, la 3.4.0. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen valores de opción…
-
Image Watermark <= 1.7.3 – Falta de Autorización para Modificación de Marca de Agua por Usuarios Autenticados (Suscriptores+)
El plugin Image Watermark para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en la función watermark_action_ajax() en todas las versiones hasta, e incluyendo, la 1.7.3. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, apliquen y eliminen marcas de agua de…
-
WordPress Core <= 6.4.3 – Exposición de Información Sensible a través de redirect_guess_404_permalink
WordPress Core es vulnerable a la Exposición de Información Sensible en versiones hasta, e incluyendo, 6.4.3 a través de la función redirect_guess_404_permalink. Esto puede permitir a atacantes no autenticados exponer el slug de una publicación personalizada cuyo estado de publicación ‘publicly_queryable’ se ha establecido en ‘false’. La vulnerabilidad CVE-2023-5692 en WordPress Core hasta la versión…
-
Happy Addons para Elementor <= 3.10.4 – XSS (Cross-Site Scripting) Almacenado Autenticado (Contributor+) a través de title_tag
El plugin de Happy Addons para Elementor en WordPress es vulnerable a XSS (Cross-Site Scripting) almacenado a través de varios widgets en todas las versiones hasta, e incluyendo, la 3.10.4 debido a una insuficiente sanitización de entrada y escape de salida en el atributo title_tag. Esto permite a atacantes autenticados, con acceso de nivel contribuidor…
-
Vulnerabilidad en Classified Listing que permite Suplantación de Cuenta a través de Cross-Site Request Forgery
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Classified Listing – Classified ads & Business Directory Plugin para WordPress en versiones anteriores a la 3.0.4 pone en riesgo la seguridad de los administradores del sitio, permitiendo a atacantes no autenticados cambiar la contraseña y la dirección de correo electrónico del usuario administrador a…
-
Vulnerabilidad de Falta de Autorización en el Plugin Classified Listing – Clasificados & Directorio de Negocios <= 3.0.4
El plugin Classified Listing – Clasificados & Directorio de Negocios para WordPress es vulnerable a accesos no autorizados y modificaciones de datos debido a la falta de una verificación de capacidades en las funciones rtcl_import_location() y rtcl_import_category() en todas las versiones hasta, e incluyendo, la 3.0.4. Esto permite que atacantes autenticados, con acceso de nivel…