Ultimas Noticias
-
Vulnerabilidad de Cross-Site Request Forgery en Easy Social Feed <= 6.5.4
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Easy Social Feed – Social Photos Gallery – Post Feed – Like Box para WordPress afecta a todas las versiones hasta la 6.5.4. Esta vulnerabilidad se debe a la falta o validación incorrecta del nonce en la función save_groups_list. Esto permite a atacantes no autenticados…
-
Exposición de Información Sensible a través del Endpoint de la API get_posts en Post Grid Combo
El plugin Post Grid Combo – 36+ Gutenberg Blocks para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, la 2.2.68 a través del Endpoint ‘get_posts’ de la API REST. Esto permite que atacantes no autenticados extraigan datos sensibles que incluyen publicaciones completas en borrador y publicaciones protegidas…
-
Tutor LMS – Solución de eLearning y cursos en línea <= 2.6.1 – Falta de Autorización para Eliminación Arbitraria de Posts
El plugin Tutor LMS – Solución de eLearning y cursos en línea para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función tutor_delete_announcement() en todas las versiones hasta, e incluyendo, la 2.6.1. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y…
-
Vulnerabilidad en Awesome Support <= 6.1.6 – Autorización Insuficiente a través de wpas_can_delete_attachments()
El plugin de WordPress Awesome Support – WordPress HelpDesk & Support Plugin es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidades insuficiente en la función wpas_can_delete_attachments() en todas las versiones hasta, e incluyendo, la 6.1.6. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen adjuntos…
-
Vulnerabilidad de XSS almacenado en plugin HT Mega – Absolute Addons For Elementor <= 2.4.4
El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a un XSS almacenado a través del atributo ‘border_type’ del widget Post Carousel en todas las versiones hasta la 2.4.4. Esto permite a atacantes autenticados con niveles de acceso de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán…
-
Bulgarisation para WooCommerce <= 3.0.14 – Falta de Autorización
El plugin Bulgarisation para WooCommerce en WordPress es vulnerable a accesos no autorizados debido a la falta de comprobaciones de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 3.0.14. Esto hace posible que atacantes no autenticados y autenticados, con acceso de nivel suscriptor y superior, generen y eliminen etiquetas. Una forma…
-
Vulnerabilidad de Cross-site scripting almacenado en Sky Addons for Elementor <= 2.4.0
La vulnerabilidad CVE-2024-2286 en el complemento Sky Addons for Elementor para WordPress permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas, lo que puede comprometer la seguridad de los usuarios. La versión 2.4.0 y anteriores del complemento Sky Addons for Elementor para WordPress son vulnerables a Cross-site scripting…