Ultimas Noticias
-
WP ERP <= 1.12.9 – Inyección SQL autenticada (Accounting Manager+) a través de id
El plugin WP ERP | Solución completa de Recursos Humanos con reclutamiento y listado de empleos | CRM & Contabilidad de WooCommerce para WordPress es vulnerable a Inyección SQL basada en tiempo a través del parámetro id en todas las versiones hasta, e incluyendo, 1.12.9 debido a un escape insuficiente en el parámetro proporcionado por…
-
Vulnerabilidad de Cross-Site Request Forgery en Ninja Forms Contact Form para WordPress <= 3.8.0
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Ninja Forms Contact Form – The Drag and Drop Form Builder para WordPress hasta la versión 3.8.0 permite a atacantes no autenticados realizar una exportación de las presentaciones de un formulario a un lugar de acceso público mediante una solicitud falsificada. El plugin Ninja Forms…
-
Vulnerabilidad de Inyección de Objetos PHP Autenticada en Lightbox slider – Responsive Lightbox Gallery <= 1.9.9
La vulnerabilidad de inyección de objetos PHP en el plugin de WordPress Lightbox slider – Responsive Lightbox Gallery hasta la versión 1.9.9 permite a atacantes autenticados con acceso de nivel contribuidor o superior inyectar un objeto PHP a través de la deserialización de datos no confiables a través de los metadatos de la entrada. Esta…
-
Vulnerabilidad en OceanWP <= 3.5.4 – Exposición de Información Sensible a través de Inclusión Limitada de Archivos Locales
La vulnerabilidad de Missing Authorization en el tema OceanWP para WordPress permite el acceso no autorizado a datos sensibles debido a la falta de una verificación de capacidad en la función load_theme_panel_pane en todas las versiones hasta, e incluyendo, la 3.5.4. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior,…
-
Sydney Toolbox <= 1.26 – XSS almacenado autenticado (Contributor+) a través de _id
La vulnerabilidad CVE-2024-2936 en el plugin Sydney Toolbox para WordPress permite a atacantes autenticados con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a dicha página. El plugin Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo _id de los…
-
Ninja Forms Contact Form – El Constructor de Formularios Arrastrar y Soltar para WordPress <= 3.8.0 – Cross-Site Scripting Almacenado Autenticado (Autor+)
El plugin Ninja Forms Contact Form – El Constructor de Formularios Arrastrar y Soltar para WordPress es vulnerable a Cross-Site Scripting almacenado a través de un título de imagen incrustado en un formulario en todas las versiones hasta, e incluyendo, la 3.8.0 debido a una insuficiente sanitización de la entrada y escape de la salida.…
-
Button <= 1.1.28 – Inyección de Objeto PHP Autenticada (Contribuidor+) en button_shortcode
El plugin Button para WordPress es vulnerable a la Inyección de Objeto PHP en todas las versiones hasta, e incluyendo, la 1.1.28 a través de la deserialización de datos no seguros en la función button_shortcode. Esto permite a atacantes autenticados, con nivel de acceso de contribuidor y superior, inyectar un Objeto PHP. No se conoce…