Ultimas Noticias
-
WP ERP <= 1.12.9 – Inyección de SQL autenticada (Gestor de Contabilidad+)
La vulnerabilidad CVE-2024-0913 en el plugin WP ERP | Solución completa de RRHH con reclutamiento y listados de trabajos | WooCommerce CRM y contabilidad para WordPress permite a atacantes autenticados realizar inyecciones de SQL basadas en tiempo a través del endpoint de la API REST erp/v1/accounting/v1/transactions/salidas en todas las versiones hasta, e incluyendo, 1.12.9. Esto…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Christmas Greetings <= 1.2.5
La vulnerabilidad CVE-2024-2116 en el plugin Christmas Greetings para WordPress permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas y ejecutarlos si logran engañar a un usuario para realizar una acción como hacer clic en un enlace. El plugin Christmas Greetings para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro…
-
Pods – Tipos de Contenido Personalizados y Campos – Inyección SQL Autenticada (Contribuidor+) a través de Shortcode
El plugin Pods – Custom Content Types and Fields para WordPress es vulnerable a Inyección SQL a través de shortcode en todas las versiones hasta, e incluyendo, la 3.0.10 (con la excepción de 2.7.31.2, 2.8.23.2, 2.9.19.2) debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la…
-
WP-Eggdrop <= 0.1 – Cross-Site Scripting Almacenado Autenticado (Admin+)
El plugin WP-Eggdrop para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, la 0.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas…
-
Vulnerabilidad de Inyección de SQL en WP ERP | Solución completa de RRHH con reclutamiento y listados de empleos | WooCommerce CRM & Accounting <= 1.12.9 – Authenticated (Subscriber+)
La vulnerabilidad de inyección de SQL en el plugin WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress, en versiones hasta la 1.12.9, permite a atacantes autenticados con nivel de suscriptor y superior, realizar inyecciones de SQL a través del parámetro ’email’. Esto puede resultar en…
-
Pods – Tipos de Contenido y Campos Personalizados – Ejecución Remota de Código Autenticada (Contribuidor+)
La vulnerabilidad CVE-2023-6999 revela una ejecución remota de código en el plugin Pods – Tipos de Contenido y Campos Personalizados para WordPress, a través de un shortcode en versiones hasta la 3.0.10 (excluyendo 2.7.31.2, 2.8.23.2, 2.9.19.2). Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, ejecutar código en el servidor. La vulnerabilidad…
-
WP ERP <= 1.12.9 – SQL Injection de Autenticación (AccountingManager+)
El plugin WP ERP | Solución completa de recursos humanos con reclutamiento y listados de empleos | CRM y contabilidad de WooCommerce para WordPress es vulnerable a SQL Injection basada en tiempo a través del parámetro id en la ruta REST erp/v1/accounting/v1/vendors/1/products/ en todas las versiones hasta, e incluyendo, la 1.12.9 debido a un escape…