Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting almacenado en PowerPack Lite for Beaver Builder <= 1.3.0
El plugin PowerPack Lite for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del enlace en múltiples elementos en todas las versiones hasta, e incluyendo, 1.3.0 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto permite que atacantes autenticados con permisos de…
-
Qi Addons For Elementor <= 1.6.7 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contribuidor+)
El plugin Qi Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 1.6.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con…
-
Permalink Manager <= 2.4.3.1 – Falta de autorización para modificar de forma arbitraria la URL de la entrada
La vulnerabilidad descubierta en el plugin Permalink Manager Lite para WordPress permite a atacantes autenticados, con permisos de autor y superiores, modificar de manera no autorizada la URL de entradas arbitrarias. El plugin Permalink Manager Lite para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades…
-
s2Member – Plugin de membresía para WordPress expone información sensible
El plugin s2Member – Best Membership Plugin for All Kinds of Memberships, Content Restriction Paywalls & Member Access Subscriptions para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, 230815 a través del API. Esto permite a atacantes no autenticados ver el contenido de esas publicaciones y páginas. La…
-
Vulnerabilidad de exposición de información sensible en MasterStudy LMS <= 3.2.13
La vulnerabilidad de autorización faltante en la función search_posts de la extensión MasterStudy LMS para WordPress hasta la versión 3.2.13 permite a atacantes autenticados con acceso de nivel suscriptor o superior exponer títulos y fragmentos de entradas en borrador. La falta de comprobación de capacidades en la función search_posts de MasterStudy LMS crea una brecha…
-
Simple Job Board <= 2.11.0 – Inyección de Objetos PHP no autenticada a través de los Campos de Aplicación
La vulnerabilidad de Inyección de Objetos PHP afecta al plugin Simple Job Board para WordPress en todas las versiones hasta, e incluyendo, la 2.11.0 a través de la deserialización de una entrada no confiable en la función job_board_applicant_list_columns_value. Esto permite a atacantes no autenticados inyectar un Objeto PHP. Si existe una cadena POP a través…
-
Everest Forms <= 2.0.7 – Vulnerabilidad de SSRF no autenticada mediante font_url
La vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Everest Forms para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.0.7 a través del parámetro ‘font_url’. Esto permite que atacantes no autenticados realicen solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y pueden ser utilizadas para consultar y modificar información…