Ultimas Noticias
-
ArtiBot Free Chat Bot for WordPress WebSites <= 1.1.6 – Falta de Autorización para la Actualización de Configuraciones
El plugin ArtiBot Free Chat Bot for WordPress WebSites para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función artibot_update en todas las versiones hasta, e incluyendo, la 1.1.6. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, actualicen…
-
Notificaciones de Orden de Alerta SMS – WooCommerce <= 3.6.9 – Cross-Site Request Forgery
El plugin de WordPress SMS Alert Order Notifications – WooCommerce es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 3.6.9. Esto se debe a una validación incorrecta o ausente de nonce en la función processBulkAction. Esto hace posible que atacantes no autenticados eliminen páginas y publicaciones a través de una…
-
Vulnerabilidad de Traversal de Directorio en Brizy – Page Builder <= 2.4.39 (Autenticado como Contributor+)
El plugin Brizy – Page Builder para WordPress es vulnerable a un Traversal de Directorio en todas las versiones hasta, e incluyendo, la 2.4.39 a través del parámetro ‘id’. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, subir archivos a ubicaciones arbitrarias en el servidor. La vulnerabilidad CVE-2024-1165 en el plugin…
-
Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Brizy – Page Builder <= 2.4.40
El plugin Brizy – Page Builder para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada a través de la carga de bloques del plugin en todas las versiones hasta, e incluyendo, la 2.4.40 debido a una insuficiente sanitización de entradas y escapado de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados…
-
Addon Library <= 1.3.76 – Falta de autorización para cargar archivos arbitrarios (suscriptor+)
El complemento Addon Library para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de verificación de capacidades en la función de acción onAjaxAction en todas las versiones hasta, e incluyendo, 1.3.76. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, realicen varias acciones no autorizadas incluyendo la…
-
Vulnerabilidad de SuperFaktura WooCommerce <= 1.40.3 – SSRF Autenticado (Suscriptor+)
La vulnerabilidad Server-Side Request Forgery (SSRF) en el plugin SuperFaktura WooCommerce para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.40.3 a través de la función wc_sf_url_check. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, realizar solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede ser…
-
Vulnerabilidad de carga de archivos arbitrarios en Brizy – Page Builder <= 2.4.40
La vulnerabilidad CVE-2024-1311 en el plugin Brizy – Page Builder para WordPress permite la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función storeImages en todas las versiones hasta, e incluyendo, la 2.4.40. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, cargar archivos arbitrarios…