Ultimas Noticias
-
New User Approve <= 2.5.1 – Ataque de Solicitud Falsificada Entre Sitios a través de admin_notices
En este reporte de seguridad, se ha identificado una vulnerabilidad de Solicitud Falsificada Entre Sitios (CSRF) en el plugin New User Approve para WordPress en todas las versiones anteriores a 2.5.2 (exclusivo). Esta vulnerabilidad se debe a la falta de validación o una validación incorrecta de nonce en la función admin_notices. Esto permite a atacantes…
-
My Sticky Bar <= 2.6.6 – Cross-Site Request Forgery para Exposición de Información Sensible
El plugin My Sticky Bar para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 2.6.6. Esto se debe a la falta de validación de nonce en mystickymenu-contact-leads.php. Esto permite que atacantes no autenticados activen la exportación de un archivo CSV que contiene contactos mediante una solicitud…
-
LearnPress <= 4.2.5.7 – Inyección de Comandos
En este artículo se abordará una vulnerabilidad de seguridad en el plugin LearnPress para WordPress, específicamente en las versiones hasta la 4.2.5.7. Se trata de una vulnerabilidad de inyección de comandos que afecta a la función get_content y permite a atacantes no autenticados ejecutar cualquier función pública con un parámetro, lo que podría resultar en…
-
Vulnerabilidad de Cross-Site Scripting almacenada en el plugin weForms para WordPress
En este informe de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting almacenada en el plugin weForms – Easy Drag & Drop Contact Form Builder For WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de administrador o superiores, inyectar scripts web maliciosos en páginas que serán ejecutados cuando un usuario acceda a dicha…
-
Vulnerabilidad de Cross-Site Scripting Almacenada en Complianz | GDPR/CCPA Cookie Consent <= 6.5.5 – Autenticado (Administrador+) a través de la configuración
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin de Complianz – GDPR/CCPA Cookie Consent para WordPress permite a atacantes autenticados, con permisos de administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada. Esto afecta solo a instalaciones de WordPress con múltiples sitios y…
-
PageLayer <= 1.7.8 – Stored Cross-Site Scripting a través de campos meta
En este reporte de seguridad, se ha descubierto una vulnerabilidad en el plugin Page Builder: Pagelayer – Drag and Drop para WordPress. La versión afectada es la 1.7.8 y permite a atacantes autenticados (con nivel de contribuidor o superior) llevar a cabo ataques de Cross-Site Scripting (XSS) almacenado a través de los campos meta ‘pagelayer_header_code’,…
-
Vulnerabilidad de WP-Members Membership Plugin <= 3.4.8 – Falta de Autorización a Exposición de Información Sensible
El plugin WP-Members Membership Plugin para WordPress es vulnerable a una Exposición de Información Sensible en todas sus versiones hasta la 3.4.8 a través del shortcode wpmem_field. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, extraer datos sensibles como correos electrónicos de usuarios, hashes de contraseñas, nombres de usuario y más. La…