Ultimas Noticias
-
ElementsKit Lite <= 3.0.3 – Exposición no autenticada de información sensible
El complemento ElementsKit Lite para Elementor en WordPress es vulnerable a una exposición no autenticada de información sensible en todas las versiones hasta, e incluyendo, la 3.0.3 a través de la función ekit_widgetarea_content. Esto permite que atacantes no autenticados obtengan el contenido de publicaciones en estado de borrador, privadas o pendientes de revisión que no…
-
Vulnerabilidad de WordPress Button Plugin MaxButtons <= 9.7.4 – Autenticación (Administrador+) Almacenado Cross-Site Scripting
El plugin WordPress Button Plugin MaxButtons para WordPress es vulnerable a una vulnerabilidad de Stored Cross-Site Scripting a través de la configuración de administración en todas las versiones hasta la 9.7.4 debido a una sanitización insuficiente de la entrada y un escape inadecuado de la salida. Esto permite a atacantes autenticados con permisos de nivel…
-
Envira Gallery Lite <= 1.8.7.2 – Falta de autorización para modificar galerías a través de envira_gallery_insert_images
El plugin de galería para WordPress – Envira Photo Gallery es vulnerable a la modificación no autorizada de datos debido a una comprobación de capacidad incorrecta en la función ‘envira_gallery_insert_images’ en todas las versiones hasta, e incluyendo, 1.8.7.1. Esto permite que atacantes autenticados, con acceso de contribuidor o superior, modifiquen galerías en las publicaciones de…
-
Vulnerabilidad de Cross-Site Request Forgery en Swift SMTP <= 5.0.6
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Swift SMTP (anteriormente conocido como Welcome Email Editor) para WordPress afecta a todas las versiones hasta la 5.0.6. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ajax_handler(). Esto permite a atacantes no autenticados enviar correos electrónicos a través de…
-
RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator <= 4.3.2 – Falta de Autorización
El plugin de WordPress RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator es vulnerable a la actualización no autorizada de configuraciones debido a la falta de comprobación de permisos al actualizar las configuraciones en todas las versiones hasta, e incluyendo, la 4.3.2. Esto permite a atacantes autenticados, con…
-
Vulnerabilidad de Script entre sitios almacenada (Stored XSS) en RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator <= 4.3.2 – Autenticado (Author+)
En este reporte de seguridad, se ha detectado una vulnerabilidad de Script entre sitios almacenada (Stored XSS) en la versión 4.3.2 y anteriores del plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de autor o superiores, inyectar…
-
Oxygen Builder <= 4.8 – Stored Cross-Site Scripting Autenticado (Contributor+) a través de Campo Personalizado
El plugin Oxygen Builder para WordPress es vulnerable a Stored Cross-Site Scripting a través de un campo personalizado en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel contribuyente o superior, inyecten scripts web arbitrarios en…