Ultimas Noticias
-
WP SMS <= 6.5 – Inyección SQL Autenticada (Admin+) para Cross-Site Scripting Reflejado
En este reporte de seguridad se ha identificado una vulnerabilidad en el plugin WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc para WordPress. Esta vulnerabilidad permite la inyección de SQL a través del parámetro ‘group_id’, lo que puede dar lugar a la ejecución de código JavaScript malicioso en el navegador de…
-
MapPress Maps for WordPress <= 2.88.13 – Cross-Site Scripting (XSS) Almacenado Autenticado (Contributor+)
En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin MapPress Maps para WordPress. Esta vulnerabilidad permite a atacantes autenticados con acceso de contribuidor o superior inyectar scripts web arbitrarios en las páginas, lo que puede conducir a ataques maliciosos. La vulnerabilidad CVE-2023-6524, conocida como ‘Improper Neutralization…
-
Easy Social Feed <= 6.5.2 – Falta autorización para modificar los ajustes
El plugin Easy Social Feed para WordPress presenta una vulnerabilidad de modificación no autorizada de datos debido a la falta de comprobación de capacidad en múltiples funciones AJAX en todas las versiones hasta, e incluyendo, la 6.5.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor o superior, realizar acciones no autorizadas, como modificar…
-
Easy Social Feed <= 6.5.2 – Falta de Autorización para Modificar Configuraciones
El complemento Easy Social Feed para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en varias funciones AJAX en todas las versiones hasta, e incluyendo, 6.5.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, realizar acciones no autorizadas, como modificar los…
-
Vulnerabilidad de Autorización Faltante en Product Expiry for WooCommerce <= 2.5 – Actualización de Configuración de Plugin
El plugin Product Expiry for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘save_settings’ en las versiones hasta, e incluyendo, la 2.5. Esto permite que atacantes autenticados, con permisos de nivel suscriptor o superiores, actualicen la configuración del plugin. La…
-
WP 2FA <= 2.5.0 – Referencia de Objeto Directo Inseguro para Envío de Correo Electrónico Arbitrario
El plugin WP 2FA – Autenticación de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a través del envío de un correo electrónico de copias de seguridad debido a la falta de validación en una clave controlada por el usuario. Esto…
-
FooGallery Premium <= 2.3.3 – Cross-Site Scripting almacenada autenticada (Contributor+)
En este artículo te informaremos sobre la vulnerabilidad de Cross-Site Scripting almacenada en el plugin de FooGallery Premium. Esta vulnerabilidad, que afecta a todas las versiones hasta la 2.3.3, permite la ejecución de scripts web arbitrarios por usuarios con privilegios de contribuidor o superiores. A continuación, te explicaremos en detalle el problema y las posibles…