Ultimas Noticias
-
Vulnerabilidad de Inyección de Objetos PHP en Meta Tag Manager <= 3.0.2 – Autenticado (Suscriptor+)
La vulnerabilidad de inyección de objetos PHP en el plugin Meta Tag Manager para WordPress en versiones hasta la 3.0.2 permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar un Objeto PHP. Esta vulnerabilidad se produce a través de la deserialización de datos no confiables en la función get_post_data. No se ha identificado…
-
Events Manager <= 6.4.7.1 – Cross-Site Request Forgery
El plugin Events Manager – Calendar, Bookings, Tickets, and more! para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 6.4.7.1. Esto se debe a la falta o validación incorrecta de nonce en varias acciones. Esto permite que atacantes no autenticados modifiquen estados de reservas mediante una solicitud falsificada…
-
Elementor Addon Elements <= 1.13.2 – XSS almacenado basado en DOM autenticado (Contribuidor+) a través de los widgets 'Separador de texto' y 'Comparación de imágenes'
El plugin Elementor Addon Elements para WordPress es vulnerable a XSS almacenado a través de widgets en todas las versiones hasta, e incluyendo, la 1.13.2 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y…
-
Vulnerabilidad de Cross-Site Scripting almacenado en plugin Simple Ajax Chat para WordPress
El plugin Simple Ajax Chat – Add a Fast, Secure Chat Box para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la configuración de administrador en todas las versiones hasta, e incluyendo, 20231101 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos…
-
Networker – Tema de Noticias Tecnológicas para WordPress con Modo Oscuro <= 1.1.9 – Falta de Autorización
El tema de WordPress Networker – Tema de Noticias Tecnológicas con Modo Oscuro es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función admin_reload_nav_menu() en todas las versiones hasta, e incluyendo, la 1.1.9. Esto permite que atacantes no autenticados modifiquen la ubicación de los…
-
Título no proporcionado
El plugin WP Reset – Most Advanced WordPress Reset Tool para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 1.99 debido al uso de nombres de instantáneas insuficientemente aleatorios. Esto permite a atacantes no autenticados extraer datos sensibles, incluidas copias de seguridad del sitio, mediante fuerza…
-
Vulnerabilidad de Cross-Site Scripting Almacenado en Simple Ajax Chat <= 20240216
La vulnerabilidad de Cross-Site Scripting Almacenado (Stored XSS) en el plugin de WordPress Simple Ajax Chat hasta la versión 20240216 permite a un atacante no autenticado ejecutar scripts maliciosos en las páginas del sitio. La vulnerabilidad se debe a una falta de saneamiento de la entrada y escape de la salida en el campo de…